Current time: 11-24-2024, 09:08 AM Hello There, Guest! (LoginRegister)


Post Reply 
Ungewöhnlicher hoher Gesamt-Traffic
Author Message
sun Offline
Junior Member
*

Posts: 25
Joined: Mar 2008
Reputation: 0
Post: #1
Ungewöhnlicher hoher Gesamt-Traffic
Auf meinen Home-Test-Server (nur Intranet) ist mir ein ungewöhnlicher hoher Gesamt-Traffic (bei bytes_in und bytes_out) aufgefallen, obwohl nur bei den Ports 80 und 443 der meiste Traffic erzeugt wird. Ich frage mich, woher diese ganzen MBs bei bytes_in und bytes_out kommen?

Datum: 05.01.2009 (als Beispiel)

Quote:SELECT sum(`bytes_in`) FROM `server_traffic` WHERE `traff_time` > 1231110000 AND `traff_time` < 1231196399
bytes_in: 269,20 MB

SELECT sum(`bytes_out`) FROM `server_traffic` WHERE `traff_time` > 1231110000 AND `traff_time` < 1231196399
bytes_out: 424,71 MB

SELECT sum(`bytes_web_in`) FROM `server_traffic` WHERE `traff_time` > 1231110000 AND `traff_time` < 1231196399
bytes_web_in: 22,37 MB

SELECT sum(`bytes_web_out`) FROM `server_traffic` WHERE `traff_time` > 1231110000 AND `traff_time` < 1231196399
bytes_web_in: 23,55 MB

Bei den übrigen Ports (25,456,110,995,143,993) ist der Traffic quasi null.
01-06-2009 11:52 AM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #2
RE: Ungewöhnlicher hoher Gesamt-Traffic
Quote:Bei den übrigen Ports (25,456,110,995,143,993) ist der Traffic quasi null.
Prüfe am besten mal direkt die IPTABLES vom Server, damit mal zu sehen wo welcher Traffic anfällt:
Code:
iptables -nvL

Oder hast Du das schon gemacht ? Weil bei Gesamt-Traffic zählt dann auch alles.

Greez BeNe
01-07-2009 02:27 AM
Visit this user's website Find all posts by this user Quote this message in a reply
sun Offline
Junior Member
*

Posts: 25
Joined: Mar 2008
Reputation: 0
Post: #3
RE: Ungewöhnlicher hoher Gesamt-Traffic
die Trafficdaten werden schon per ISPCP Iptables generiert und aus den Input und Output in die DB per cron eingefügt. Was verwirrend ist, es wir nur am Port 80 Traffic erzeugt, aber der Gesamt-Traffic (Input + Ouput) liegt deutlich drüber als bei web_in und web_out.

Anbei noch eine Grafik.

[Image: trafficg2kk.jpg]
01-07-2009 10:10 AM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #4
RE: Ungewöhnlicher hoher Gesamt-Traffic
Von wem oder was wird dei Grafik erzeugt ?
Ein:
Code:
iptables -nvL
Würde sicher trotzdem nicht schaden, weil das die Quelle ist.

Greez BeNe
01-07-2009 07:25 PM
Visit this user's website Find all posts by this user Quote this message in a reply
sun Offline
Junior Member
*

Posts: 25
Joined: Mar 2008
Reputation: 0
Post: #5
RE: Ungewöhnlicher hoher Gesamt-Traffic
Die Grafik ist die Eintragung auf der Zeitachse der Traffic-Werte aus der Tabelle server_traffic. Aber der Fehler lag wahrscheinlich an meiner IPtables-Konfiguration, da ich dort eine Anpassung vorgenommen hatte. Die return-Werte von ISPCP_INPUT und ISPCP_OUTPUT waren nicht eingestellt. Ich habe es nun korrigiert und werde es weiter beobachten. Vielen Dank Bene!

Und so sieht es nun aus:

iptables -nvL
Code:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  *      *       192.168.100.6        0.0.0.0/0
    0     0 ACCEPT     0    --  *      *       0.0.0.0/0            192.168.100.6
4500  266K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
   25  2536 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
15425 3299K ACCEPT     tcp  --  *      *       127.0.0.1            0.0.0.0/0           tcp dpt:3306
12468   26M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ISPCP_INPUT  0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  eth0   *       192.168.100.6        0.0.0.0/0
    0     0 ACCEPT     0    --  eth0   *       0.0.0.0/0            192.168.100.6
    0     0 ACCEPT     0    --  *      eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 27893 packets, 29M bytes)
pkts bytes target     prot opt in     out     source               destination
6379 7453K ACCEPT     0    --  *      eth0    0.0.0.0/0            0.0.0.0/0
27893   29M ISPCP_OUTPUT  0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain ISPCP_INPUT (1 references)
pkts bytes target     prot opt in     out     source               destination
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:995
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993
    0     0 RETURN     0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain ISPCP_OUTPUT (1 references)
pkts bytes target     prot opt in     out     source               destination
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:995
    0     0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993
27893   29M RETURN     0    --  *      *       0.0.0.0/0            0.0.0.0/0
01-08-2009 04:48 AM
Find all posts by this user Quote this message in a reply
simple Offline
Junior Member
**
Graph Team

Posts: 143
Joined: Dec 2006
Reputation: 0
Post: #6
RE: Ungewöhnlicher hoher Gesamt-Traffic
Ich greif das hier mal auf, da sich bei mir dasselbe Bild bietet, nur in anderer Größenordnung. Ich habe ~ 10GB echten Traffic auf dem Server bisher (1. bis 10. Februar, alle Ports zusammengezählt). Dazu kommen "sonstiges" rund 200GB, also das 20fache aller verursachten gewollten Traffics zusammen. Die Datei ispcp-iptables-output.log (was ja die Ausgabe von iptables zur Traffic-Berechnung ist) sieht so aus:

Code:
Chain ISPCP_OUTPUT (1 references)
    pkts      bytes target     prot opt in     out     source               destination        
       0        0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:993
       0        0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:995
       0        0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:587
     740    61902            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:25
    1747   761378            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:143
     188    78270            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:110
       0        0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:443
    7956  8086896            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80
   18974 10989065 RETURN     0    --  *      *       0.0.0.0/0            0.0.0.0/0

Hier fällt auf (und das sieht immer gleich aus), dass die RETURN-Werte der "sonstige" Traffic sind, also aus irgendeinem Grund nicht weitergereichte Pakete. INPUT ähnlich:

Code:
Chain ISPCP_INPUT (1 references)
    pkts      bytes target     prot opt in     out     source               destination        
       0        0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993
       0        0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:995
       0        0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587
     822   276111            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    1996   269287            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143
     208    11184            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110
       0        0            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    6681   835134            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
   32062 29571998 RETURN     0    --  *      *       0.0.0.0/0            0.0.0.0/0

RC7, gleiches Verhalten auf mehreren Servern. Die Berechnung scheint richtig zu sein, im Traffic-Monitor der Netzwerkkarte sehe ich die gleichen Zahlen, der Server im Beispiel oben hat aktuell rund 220GB Traffic. Kann das Verhalten noch jemand nachvollziehen?
(This post was last modified: 02-12-2009 07:45 AM by simple.)
02-12-2009 07:44 AM
Visit this user's website Find all posts by this user Quote this message in a reply
simple Offline
Junior Member
**
Graph Team

Posts: 143
Joined: Dec 2006
Reputation: 0
Post: #7
RE: Ungewöhnlicher hoher Gesamt-Traffic
Ich muss meine Aussage korrgieren, der Traffic-Monitor der Netzwerkkarte hatte zufällig für die letzten 30 Tage eine sehr ähnliche Zahl angezeigt (nämlich ca. 220GB), für die 10 Tage wie ich sie auch im ISPcp untersucht habe zeigt der Netzwerkmonitor "nur" 40GB Traffic. Das kommt hin, da auf der Maschine 2 VMs laufen, die jeweils reell 20GB Traffic erzeugt haben, laut ISPcp aber über 200GB - jede.

Lässt man die Betrachtung der RETURN-Packages weg (von denen ja vielleicht nur die Header verarbeitet wurden? Ich kenne den Ablauf der RETURN-Pakete nicht genug), dann passt der Traffic. Ich poste mal ein Ticket dazu.
02-12-2009 09:40 AM
Visit this user's website Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 3 Guest(s)