日期:2014-05-16  浏览次数:20709 次

[求助]keepalived+lvs+lamp服务器流量突增,带宽被占满导致网站无法访问
公司网站服务器为keepalived+lvs+lamp架构,1台keepalived+2台web+1台mysql
昨日晚间突然无法访问,同时也无法远程连接,ping服务器IP几乎全部拒绝。经查询服务器带宽瞬间从几M冲到了70兆左右(70兆为机房限制的最大带宽数,带宽监控为机房提供)。
后来到机房查看,为两台web服务器的问题,只要拔掉两台web服务器的外网网线带宽随即恢复正常。当时查询两台web服务器的cpu、内存、进程均无问题。
直接重起两台web服务器,问题消失。而后查询服务器日志messages与apache日志,没有发现任何异常。
该网站是公司门户类网站,平时就没有多大的访问量,而且发生故障时apache的日志也显示没有多少用户访问,所以初步排除网站被恶意攻击,但还是无法找出网站问题的所在。
所以请各位大侠出手相助,有没有遇到过类似的问题,或是可以提供一下调查问题的思路。小弟在此不胜感激

------解决方案--------------------
被攻击?看下secure日志,是否被大量强制登录
或者网卡出问题
查看交换机上联监控,看流量是否正常,机房其他机器是否有问题
...
------解决方案--------------------
而后查询服务器日志messages与apache日志,没有发现任何异常。
该网站是公司门户类网站,平时就没有多大的访问量,而且发生故障时apache的日志也显示没有多少用户访问,所以初步排除网站被恶意攻击,但还是无法找出网站问题的所在。
------------------------------
你不能靠这个来排除网站被恶意攻击

被流量攻击 messages与apache日志里是不会有记录的

从你提供的线索"服务器带宽瞬间从几M冲到了70兆左右" 应该就是被攻击 你应该看看是进站流量还是出站流量

------解决方案--------------------
直接就tcpdump看看是谁TMD发那么多连接。
------解决方案--------------------
探讨

引用:

直接就tcpdump看看是谁TMD发那么多连接。

当时给忘记了,直接重起了机器。后来想起这个后悔呀
却实应该先抓包的。

------解决方案--------------------
我觉得应该先用抓包工具看下谁占用的宽带,看下那个ip搞的鬼