Linux 服务器带宽异常跑满分析解决

1、使用 nethogs 进行排查

[root@iZ23kick03xZ ~]# nethogs eth0

• 1

经过 nethogs 工具来查看某一网卡上进程级流量信息 
假定当前 eth0 网卡跑满，则执行命令 nethogs eth0，在右边的红框中能够看到每一个进程的网络带宽状况，左边红框显示了进程对应的 PID，在此能够肯定究竟是什么进程占用了系统的带宽。

若是肯定是恶意程序，能够经过 kill -TERM pid 来终止程序。 
如是 Web 服务程序，则能够使用 iftop 等工具来查询具体 IP 来源，而后分析 Web 访问日志是否为正常流量，日志分析也能够使用 logwatch 或 awstats 等工具进行分析。

2、使用 iftop 工具排查

[root@iZ23kick03xZ ~]# iftop -i eth0 -P

• 1

注：-P 参数会将请求服务的端口显示出来，也就是说是经过服务器哪一个端口创建的链接，看内网流量执行 iftop -i eth0 -P 命令。

3、使用tcpdum命令进行抓包

[root@iZ23kick03xZ ~]# tcpdump tcp port 80 -nnei eth0 -w web.pcap 简单点写就是： [root@iZ23kick03xZ ~]# tcpdump -i eth0 -w web.pcap

• 1
• 2
• 3

备注： 
-w 是将输出内容保存到文件，而web.pcap是一个二进制文件，不能直接打开，能够经过 wireshark 软件进行分析

这个是在wireshark中打开的web.pcap文件

• 1

点击 统计--->对话，显示以下图所示

• 1

分析

• 1

linux下实用iptables封ip段的一些常见命令 
封单个IP的命令是： 
iptables -I INPUT -s 106.45.233.109 -j DROP 
iptables -I OUTPUT -s 106.45.233.109 -j DROP

封IP段的命令是： 
iptables -I INPUT -s 106.45.233.0/24 -j DROP 
iptables -I OUTPUT -s 106.45.233.0/24 -j DROP

封整个段的命令是： 
iptables -I INPUT -s 106.0.0.0/8 -j DROP 
iptables -I OUTPUT -s 106.0.0.0/8 -j DROP

封几个段的命令是： 
iptables -I INPUT -s 106.45.233.0/24 -j DROP 
iptables -I OUTPUT -s 106.45.233.0/24 -j DROP 
iptables -I INPUT -s 60.210.246.0/24 -j DROP 
iptables -I OUTPUT -s 60.210.246.0/24 -j DROP

 

源：https://blog.csdn.net/qinrenzhi/article/details/82147267