Linux 服務器帶寬異常跑滿分析解決

1、使用 nethogs 進行排查

[root@iZ23kick03xZ ~]# nethogs eth0

• 1

經過 nethogs 工具來查看某一網卡上進程級流量信息 
假定當前 eth0 網卡跑滿，則執行命令 nethogs eth0，在右邊的紅框中能夠看到每一個進程的網絡帶寬狀況，左邊紅框顯示了進程對應的 PID，在此能夠肯定究竟是什麼進程佔用了系統的帶寬。

若是肯定是惡意程序，能夠經過 kill -TERM pid 來終止程序。 
如是 Web 服務程序，則能夠使用 iftop 等工具來查詢具體 IP 來源，而後分析 Web 訪問日誌是否爲正常流量，日誌分析也能夠使用 logwatch 或 awstats 等工具進行分析。

2、使用 iftop 工具排查

[root@iZ23kick03xZ ~]# iftop -i eth0 -P

• 1

注：-P 參數會將請求服務的端口顯示出來，也就是說是經過服務器哪一個端口創建的鏈接，看內網流量執行 iftop -i eth0 -P 命令。

3、使用tcpdum命令進行抓包

[root@iZ23kick03xZ ~]# tcpdump tcp port 80 -nnei eth0 -w web.pcap 簡單點寫就是： [root@iZ23kick03xZ ~]# tcpdump -i eth0 -w web.pcap

• 1
• 2
• 3

備註： 
-w 是將輸出內容保存到文件，而web.pcap是一個二進制文件，不能直接打開，能夠經過 wireshark 軟件進行分析

這個是在wireshark中打開的web.pcap文件

• 1

點擊 統計--->對話，顯示以下圖所示

• 1

分析

• 1

linux下實用iptables封ip段的一些常見命令 
封單個IP的命令是： 
iptables -I INPUT -s 106.45.233.109 -j DROP 
iptables -I OUTPUT -s 106.45.233.109 -j DROP

封IP段的命令是： 
iptables -I INPUT -s 106.45.233.0/24 -j DROP 
iptables -I OUTPUT -s 106.45.233.0/24 -j DROP

封整個段的命令是： 
iptables -I INPUT -s 106.0.0.0/8 -j DROP 
iptables -I OUTPUT -s 106.0.0.0/8 -j DROP

封幾個段的命令是： 
iptables -I INPUT -s 106.45.233.0/24 -j DROP 
iptables -I OUTPUT -s 106.45.233.0/24 -j DROP 
iptables -I INPUT -s 60.210.246.0/24 -j DROP 
iptables -I OUTPUT -s 60.210.246.0/24 -j DROP

 

源：https://blog.csdn.net/qinrenzhi/article/details/82147267