Fui avisado de que meu servidor quebrou seu limite de transferência. Como o meu nó Tor se tornou popular, decidi desativá-lo este mês (não é a melhor opção para a comunidade, mas preciso ir para baixo). Então notei que o servidor transferiu cerca de 4 GB nesta noite. Verifiquei os logs do Apache com o Awstats, sem tráfego relevante (e não hospedo sites tão populares lá). Eu verifiquei os logs de correio, ninguém tentou enviar lixo. Eu verifiquei messages
logs e encontrei toneladas desses
Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156
A cada poucos segundos, um bot está tentando invadir meu SSH, o que é impossível porque eu preciso de autenticação pubkey. Minha pergunta é: esse tráfego, nessa frequência, pode consumir 4 GB (digamos 3,5) em 10 horas de ataque contínuo?
Alterei minha porta SSH e parei esses ataques, mas não tenho certeza sobre o consumo de rede. Não tenho serviços descontrolados em execução - meu firewall é meio restritivo - ou compartilho o servidor com alguém que esteja abusando de P2P ou o que for. Minha preocupação é ficar abaixo de 400 GB / mês.
Alguma dica?
fonte
Se essa é a causa do uso da largura de banda, a largura de banda já é consumida no momento em que você lida com eles no sistema. Você pode usar uma ferramenta como o iptraf para fornecer uma explicação do que está acontecendo em cada interface / porta e, em seguida, tomar as medidas apropriadas com base em fatos.
fonte
Não, essas tentativas de conexão uma vez por segundo não somam 4 GB em dez horas. Você acha que pode baixar um arquivo de 4 GB em 10 horas recebendo um pacote minúsculo uma vez por segundo? Há 3600 segundos em uma hora; portanto, se você obtiver um kilobyte por segundo por dez horas, isso será 36000 Kb ou 36 megabytes.
Sua largura de banda é medida de acordo com o que desce do cano do seu provedor para o seu roteador externo, não o que chega ao seu servidor. Você deve observar a porcaria que não está atingindo seu servidor, que a maioria dos equipamentos externos está rejeitando.
Quanto ao que chega ao seu servidor, você não pode confiar nos logs do aplicativo. Até os pacotes que são descartados silenciosamente pelo firewall local são de largura de banda. As estatísticas da interface (mostradas por
ifconfig
) informam bytes Tx / Rx.fonte