客户遇到的问题如下:
简单看了下,网站访问速度很慢,打开要几十秒时间,ping延时偏高,有掉包,因为CPU跑满也会造成ping出现这种情况,所以最初判断的结果是程序或者环境的负载问题可能性比较大(客户网站访问量不算小,十几万PV)。
登录系统后,检查日志请求,并未发现异常情况。
打开iftop,看到二个IP流向服务器的流量比较大,而且是持续的。如下图:
一般访问网站,是从服务器流出的流量比较大。
使用netstat查看这个IP建立的连接:
从日志中并没有发现这个IP的请求日志,但是与80端口建立了大量的连接,可以确定是攻击行为了。
封掉IP后,ping截图如下:
可以很明显的看到分界点,在封掉IP后恢复到了正常的ping值。
由于服务器是5M带宽,这二个攻击IP很轻松的占满了下行带宽,而且是恰到好处,影响到了网站访问速度,但是ping的掉包并不严重,很难通过PING判断出是攻击。
这次案例中的攻击流量实在是小的可怜,基本属于小朋友过家家型的,所以在服务器上处理比较简单。如果流量再大些,处理会更复杂。
此文章由 http://www.ositren.com 收集整理 ,地址为: http://www.ositren.com/htmls/68070.html