Ищем пожирателя трафика

Утечка трафика

На одном из серверов случайным образом заметил огромный трафик: за две недели он составил почти 1,5 ТБ, что для сервера с парой телеграм ботов и несколькими микросервисами - перебор.

Начинаем искать вредителя.

Сначала проверяю статус файервола (что он активен) и правила. Здесь все в порядке.

Потом смотрю текущие соединения

ss -tulpan

Подозрительных сессий или открытых портов нет.

Запускаю мониторинг в реальном времени

iftop

Снова никаких подозрительных действий или потребления трафика, все в рамках сотен Kbps, что никак не может привести к сотням гигабайт. Хорошо, оставляю мониторинг на пару часов и через какое-то время что-то “сжирает” 80ГБ. Однако iftop только показывает сам факт потребления.

Запускаю другую утилиту, она отсортирует узлы по отправленному трафику в мегабайтах.

nethogs -v 3 -s

И снова жду пару часов, как рыбак )

Через пару часов “ловлю рыбку” в виде ip-адреса 185.56.137.2 с портом 8080.

Смотрю в браузере - бинго!

Ookla “чтоб его” Server!

Один из микросервисов на этом сервере - как раз мониторинг скорости внешнего соединения, который каждый час запускает speedtest и строит красивые графики. И вот этот speedtest “пожирал” десятки гигабайт за тест.

Отключаем speedtest - и вуаля Объем трафика снизился на порядки.

Вывод: открыл для себя пару полезных утилит и, да, следить за трафиком - полезно.