Existe-t-il un moyen de savoir quelle application sur un server est responsable du trafic entrant?
J'ai un server linux Debian qui a beaucoup de trafic entrant et j'aimerais savoir si quelqu'un a réussi à se pencher sur lui ou s'il y a une application Web défectueuse (apache2 + PHP) et je dois simplement corriger un bug.
Aucune suggestion? Les applications dont je dois connaître? "Moniteurs réseau à long terme"?
Vous pouvez essayer d'utiliser iptraf et pktstat pour aider à visualiser votre trafic réseau. Ils sont tous deux dans les repositorys apt.
Ils vous montreront toutes les connections entrantes / sortantes, les services auxquels ils sont connectés, la bande passante de trafic pour chaque connection, les inputs autodressées / nommées et bien plus encore. Cela vous aidera à suivre l'application offensante (avec une aide de netstat).
S'amuser!
Pour une surveillance spécifique de php / apache, mod_status vous montrera une list accessible sur le Web de toutes les connections apache actuelles. Pour voir tout le trafic PHP, vous pouvez surveiller à partir de la command line en utilisant
watch -n1 "/etc/init.d/httpd fullstatus | grep .php | egrep \"GET|POST\""
N'oubliez pas d'empêcher l'access extérieur avec
<Location /server-status> SetHandler server-status Order Deny,Allow Deny from all Allow from .foo.com </Location>
Pour une statistique du trafic total, sauf iptraf, vous pouvez essayer le bandeau. Je l'ai utilisé avant et il est capable de produire de bons charts pour le trafic basé sur la source <-> cible ip, la répartition du trafic par les protocoles, etc. Tout cela en time réel;) Il est inclus dans debian et ubuntu.