Ungewöhnlicher Traffic auf Server

  • Hey,


    habe mal in meinem vServerControlPanel geguckt und der Traffic ist extrem. Am 13.10.2012 waren es noch paar hundert MB pro Tag. Ab dem 14.12.2012 fing es dann mit den GB Zahlen an, also ca. 30 bis 50 GB pro Tag. Das liegt aber an dem Minecraft Server, den ich für mich und nen Kumpel aufgesetzt habe. Da haben wir halt sehr aktiv gespielt.


    Seit ein paar Tagen spielen wir aber nicht wirklich. Heute hat zum Beispiel noch keiner gespielt und es sind schon 7GB Traffic heute. Ich denke kaum, dass der Minecraft Server im Ruhestand, also wenn niemand spielt, Traffic verbraucht.


    Habe ja noch meinen DNS Server, aber der wird ja nicht so viel Traffic generieren und ich glaube kaum, dass den soo extrem viele nutzen. Zugang zu meinem Proxy Server haben auch nur wenige und die nutzen den im Moment nicht, ich auch nicht.


    Bin mir nicht sicher ob der Mailserver so viel produzieren kann, weil da auch kaum Mails drüber laufen.


    Und so viele Besucher habe ich nun auch nicht, dass da paar GB täglich zusammen kommen.


    Habe noch ein WBB3 Forum mit ner Shoutbox, die refreshed ja ständig, aber die hab ich schon seit Monaten, also kann es an der auch nicht liegen.



    Es lädt auch keiner etwas runter, der Traffic ist ständig gleichbleibend. Pro Stunde so um die 350MB zusammen, also eingehend und ausgehend.


    DDOS Angriff kann es auch nicht sein, mein Server läuft super flüssig im Moment und hat kaum Auslastung.


    Habt ihr eine Idee was es sein könnte?


    Gruß
    Phillipp

  • Schon mal webalizer ausprobiert?
    http://www.webalizer.org/


    Ansonsten die Dienste wie MC-Server, Dns usw tageweise abschalten und den Traffic beobachten. Aber kannst du nicht bei dem vServer den Traffic genau auflisten lassen?


    Gesendet von meinem iPad mit Tapatalk HD

    Well in my humble opinion, of course without offending anyone who thinks differently from my point of view, but also by looking into this matter in a different way and without fighting and by trying to make it clear and by considering each and every one's opinion, I honestly believe that I completely forgot what I was going to say.

  • Da kannste die logfiles durchsuchen und schauen ob eine ip adresse permanent auftauvht, je nach dem welcje verwaltungssoftware du hast geht das über die oder über ssh.

  • fang einfach mit dem Log an wo du vermutest das es her kommen könnte, wenn du dir sicher bist das der Webserver es nicht ist macht es wenig sinn mit der apache2 log an zu fangen.

  • Halo,
    ich würde einfach mit ntop den Traffic analysieren (IPs und Ports) und dann mit netstat prüfen welcher daemon auf den entsprechenden Ports reagiert.


    Bei 350 MByte je Stunde müsste aber auch ein Programm entsprechende Resourcen (CPU, Mem) binden.

  • Hi Phillipp
    htop ist ein anderes Tool (Prozessbeobachtung)


    ntop findest du unter http://www.ntop.de


    Unter debian installiert man es an schnellsten mit "apt-get install ntop"
    Es dürfte auch genügend Howtos für andere Systeme geben.


    Grüße

  • Bei Squeeze war ntop imho nicht dabei. Eswar in den Backports enthalten.
    Du hast also 3 Möglichkeiten:
    1.die Squezzy-backports in die source-list aufnehmen und dann ntop istallieren
    2. ntop aus den sourcen installieren
    3. ein alternatives Programm zu suchen (vnstat?)

  • bin grad echt am ausrasten.


    wollte den source code installieren, dann fehlte iein programm, das hab ich installiert aber er meckerte weiter rum. dann hab ich die backports installiert und konnte es installieren, aber beim starten spuckt er iein error aus und wenn ich alles updaten will sagt er:


    Code
    ntop not started. Read /usr/share/doc/ntop/README.Debian.
    invoke-rc.d: initscript ntop, action "start" failed.
    dpkg: error processing ntop (--configure):
    subprocess installed post-installation script returned error exit status 1
    configured to not write apport reports
    Errors were encountered while processing:
    ntop
    E: Sub-process /usr/bin/dpkg returned an error code (1)
  • Was bedeutet beim starten?
    Normalerweiße macht der apt-get nach dem install ein configure in dem die wichtigsten einsterllungen abgefragt werden.
    funktioniert dieser Befehl?:

    Quote

    dpkg-reconfigure ntop


    dabei wird als erstes die Schnittstelle gefordert (normal eth0)
    danach noch der Username und das Password

  • Code
    /usr/sbin/dpkg-reconfigure: ntop is broken or not fully installed



    ich gibs auf. aufs webinterface komm ich wenn ich normal über den befehl "ntop" starte, das muss ich aber mit screen machen, sonst beendet es sich wenn ich die shell schließe. mit dem init.d script will das teil nichmal starten.


    das webinterface gibt nichma daten aus und an manchen stellen soll ich es konfigurieren, da sind dann irgendwelche eingabefelder aber es steht nichtmal bei was sie denn genau wissen willen.


    fazit: ntop isn drecksteil!