Erhöhter Traffic

Pascale

New Member
Hallo,
ich habe seit etwa vier Tagen erhöhten Traffic.
Kann mir jemand verraten wie ich am besten rausfinde was diesen "Datenverkehr" verursacht?
Änderungen oder Softwareinstallationen sind keine geschehen.
day rx | tx | total | avg. rate
------------------------+-------------+-------------+---------------
04.05.2020 1,60 GiB | 2,23 GiB | 3,84 GiB | 381,45 kbit/s
05.05.2020 1,60 GiB | 2,44 GiB | 4,04 GiB | 402,14 kbit/s
06.05.2020 1,46 GiB | 2,03 GiB | 3,49 GiB | 346,84 kbit/s
07.05.2020 1,37 GiB | 2,30 GiB | 3,68 GiB | 365,45 kbit/s
08.05.2020 1,27 GiB | 1,60 GiB | 2,87 GiB | 285,02 kbit/s
09.05.2020 1,33 GiB | 1,41 GiB | 2,74 GiB | 272,59 kbit/s
10.05.2020 1,10 GiB | 1,56 GiB | 2,66 GiB | 264,83 kbit/s
11.05.2020 1,51 GiB | 2,55 GiB | 4,06 GiB | 403,72 kbit/s
12.05.2020 1,66 GiB | 2,83 GiB | 4,49 GiB | 446,56 kbit/s
13.05.2020 1,26 GiB | 1,81 GiB | 3,07 GiB | 305,05 kbit/s
14.05.2020 1,26 GiB | 1,64 GiB | 2,90 GiB | 288,24 kbit/s
15.05.2020 1,20 GiB | 1,52 GiB | 2,72 GiB | 270,49 kbit/s
16.05.2020 1,22 GiB | 1,60 GiB | 2,81 GiB | 279,85 kbit/s
17.05.2020 1,30 GiB | 1,40 GiB | 2,69 GiB | 267,73 kbit/s
18.05.2020 1,04 GiB | 813,83 MiB | 1,83 GiB | 182,28 kbit/s
19.05.2020 1,39 GiB | 2,23 GiB | 3,62 GiB | 360,17 kbit/s
20.05.2020 1,11 GiB | 967,49 MiB | 2,05 GiB | 204,16 kbit/s
21.05.2020 1,08 GiB | 0,98 GiB | 2,07 GiB | 205,52 kbit/s
22.05.2020 4,78 GiB | 1,78 GiB | 6,56 GiB | 652,36 kbit/s
23.05.2020 1,04 GiB | 1,36 GiB | 2,40 GiB | 238,30 kbit/s
24.05.2020 1,02 GiB | 1,19 GiB | 2,21 GiB | 219,93 kbit/s
25.05.2020 2,69 GiB | 1,74 GiB | 4,43 GiB | 440,43 kbit/s
26.05.2020 3,05 GiB | 2,06 GiB | 5,11 GiB | 507,61 kbit/s
27.05.2020 2,49 GiB | 2,44 GiB | 4,93 GiB | 490,43 kbit/s
28.05.2020 22,23 GiB | 2,55 GiB | 24,77 GiB | 2,46 Mbit/s
29.05.2020 44,33 GiB | 2,21 GiB | 46,54 GiB | 4,63 Mbit/s
30.05.2020 44,67 GiB | 1,18 GiB | 45,85 GiB | 4,56 Mbit/s
31.05.2020 47,71 GiB | 2,19 GiB | 49,90 GiB | 4,96 Mbit/s
01.06.2020 41,18 GiB | 1,60 GiB | 42,78 GiB | 4,25 Mbit/s
02.06.2020 44,77 GiB | 669,14 MiB | 45,42 GiB | 4,99 Mbit/s
------------------------+-------------+-------------+---------------
 

Lord Gurke

Nur echt mit 32 Zähnen
Im Zweifel mit iptraf-ng oder tcpdump mal nachsehen. Im Falle von tcpdump z.B. mit
Code:
tcpdump -i eth0 -nn "not port 22"
Dann siehst du zumindest schonmal, ob das etwas ist, was dauerhaft Traffic verursacht - und falls dem so ist, auch von welchem Dienst deines Servers es ausgeht. "eth0" muss natürlich durch den Namen des Interface ersetzt werden ;-)
 

Pascale

New Member
22:18:37.146292 IP 190.3.49.82.62407 > 213.202.222.10.19132: UDP, length 10
22:18:37.146296 IP 68.108.217.191.40699 > 213.202.222.10.19132: UDP, length 7
22:18:37.146582 IP 88.227.57.140.10836 > 213.202.222.10.19132: UDP, length 7
22:18:37.146710 IP 81.11.232.76.49666 > 213.202.222.10.19132: UDP, length 61
22:18:37.147297 IP 200.123.38.60.43481 > 213.202.222.10.19132: UDP, length 7
22:18:37.148069 IP 93.107.165.123.54223 > 213.202.222.10.19132: UDP, length 33
22:18:37.148380 IP 109.230.20.67.37589 > 213.202.222.10.19132: UDP, length 124
22:18:37.148499 IP 172.58.109.23.52638 > 213.202.222.10.19132: UDP, length 7
22:18:37.148759 IP 79.184.246.193.59880 > 213.202.222.10.19132: UDP, length 57
22:18:37.148789 IP 109.52.249.176.14662 > 213.202.222.7.9987: UDP, length 84
22:18:37.148801 IP 73.163.172.50.54262 > 213.202.222.10.19132: UDP, length 7
22:18:37.148947 IP 79.151.1.5.42516 > 213.202.222.10.19132: UDP, length 43
22:18:37.149150 IP 156.222.51.103.59906 > 213.202.222.10.19132: UDP, length 7
22:18:37.149720 IP 223.24.187.25.19270 > 213.202.222.10.19132: UDP, length 7
22:18:37.149950 IP 191.100.92.30.56082 > 213.202.222.10.19132: UDP, length 7
22:18:37.149972 IP 79.47.38.147.59622 > 213.202.222.7.9987: UDP, length 79
22:18:37.150235 IP 88.227.57.140.10836 > 213.202.222.10.19132: UDP, length 7
22:18:37.150384 IP 81.109.212.97.60879 > 213.202.222.10.19132: UDP, length 7
22:18:37.150415 IP 190.148.157.16.39888 > 213.202.222.10.19132: UDP, length 10
22:18:37.150418 IP 190.148.157.16.39888 > 213.202.222.10.19132: UDP, length 61
22:18:37.150517 IP 181.42.18.245.43895 > 213.202.222.10.19132: UDP, length 7
22:18:37.150738 IP 89.203.248.215.3306 > 213.202.222.10.52304: Flags [P.], seq 1:96, ack 1, win 510, options [nop,nop,TS val 3572747413 ecr 2994582390], length 95
22:18:37.150994 IP 186.22.227.154.58427 > 213.202.222.10.19132: UDP, length 7
22:18:37.151178 ARP, Request who-has 78.31.71.9 tell 169.254.4.202, length 46
22:18:37.151263 IP 66.131.19.3.45328 > 213.202.222.10.19132: UDP, length 33
22:18:37.151266 IP 181.194.178.244.59703 > 213.202.222.10.19132: UDP, length 7
22:18:37.151292 IP 2.203.2.94.46067 > 213.202.222.10.19132: UDP, length 7
22:18:37.151318 IP 187.145.221.217.54985 > 213.202.222.10.19132: UDP, length 10
22:18:37.151383 IP 89.1.28.93.57396 > 213.202.222.10.19132: UDP, length 64
22:18:37.151457 IP 190.104.174.103.24287 > 213.202.222.10.19132: UDP, length 7
22:18:37.151583 IP 79.47.38.147.55269 > 213.202.222.7.30120: UDP, length 345
22:18:37.151610 IP 189.182.206.120.40505 > 213.202.222.10.19132: UDP, length 64
22:18:37.151696 IP 83.20.225.37.16844 > 213.202.222.10.19132: UDP, length 7
22:18:37.151784 IP 109.128.207.222.57274 > 213.202.222.10.19132: UDP, length 62
22:18:37.151831 IP 174.197.3.123.17233 > 213.202.222.10.19132: UDP, length 64
22:18:37.151833 IP 174.197.3.123.17233 > 213.202.222.10.19132: UDP, length 7
22:18:37.151961 IP 176.191.83.251.59262 > 213.202.222.10.19132: UDP, length 10
22:18:37.152025 IP 181.199.153.90.21281 > 213.202.222.10.19132: UDP, length 7
22:18:37.152038 IP 45.231.34.240.36392 > 213.202.222.10.19132: UDP, length 7
22:18:37.152181 IP 175.176.23.56.58524 > 213.202.222.10.19132: UDP, length 7
22:18:37.152305 IP 190.238.203.195.36511 > 213.202.222.10.19132: UDP, length 7
22:18:37.152363 IP 174.97.141.68.60309 > 213.202.222.10.19132: UDP, length 7
22:18:37.152366 IP 174.97.141.68.60309 > 213.202.222.10.19132: UDP, length 63
22:18:37.152479 IP 181.42.18.245.43895 > 213.202.222.10.19132: UDP, length 7
22:18:37.152564 IP 181.118.101.216.57563 > 213.202.222.10.19132: UDP, length 7
22:18:37.152566 IP 181.118.101.216.57563 > 213.202.222.10.19132: UDP, length 24
22:18:37.152695 IP 188.75.191.32.9747 > 213.202.222.10.19132: UDP, length 58
22:18:37.152727 IP 80.4.216.183.54548 > 213.202.222.10.19132: UDP, length 70
22:18:37.152921 IP 181.174.106.64.30968 > 213.202.222.10.19132: UDP, length 7
22:18:37.152975 IP 131.72.105.198.56091 > 213.202.222.10.19132: UDP, length 7
22:18:37.153612 IP 188.75.172.8.64987 > 213.202.222.10.19132: UDP, length 10
22:18:37.153615 IP 188.75.172.8.64987 > 213.202.222.10.19132: UDP, length 64
22:18:37.153634 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 7
22:18:37.153647 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 37
22:18:37.153648 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 39
22:18:37.153656 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 43
22:18:37.153668 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 63
22:18:37.153670 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 64
22:18:37.153671 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 10
22:18:37.153672 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 10
22:18:37.153673 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 24
22:18:37.153674 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 7
22:18:37.153675 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 43
22:18:37.153700 IP 186.176.98.138.44799 > 213.202.222.10.19132: UDP, length 7
22:18:37.153702 IP 186.176.98.138.44799 > 213.202.222.10.19132: UDP, length 51
22:18:37.153703 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 48
22:18:37.153704 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 7
22:18:37.153705 IP 190.130.135.70.61332 > 213.202.222.10.19132: UDP, length 37
22:18:37.153735 IP 73.196.145.96.56100 > 213.202.222.10.19132: UDP, length 67
22:18:37.153810 IP 79.131.136.7.54491 > 213.202.222.10.19132: UDP, length 10
22:18:37.153923 IP 83.250.46.186.52210 > 213.202.222.10.19132: UDP, length 7
22:18:37.154031 IP 190.194.7.172.53284 > 213.202.222.10.19132: UDP, length 7
22:18:37.154592 IP 73.163.172.50.54262 > 213.202.222.10.19132: UDP, length 61
22:18:37.154882 IP 68.108.217.191.40699 > 213.202.222.10.19132: UDP, length 57
22:18:37.155105 IP 190.14.142.143.2336 > 213.202.222.10.19132: UDP, length 64
22:18:37.155159 IP 81.235.43.78.63564 > 213.202.222.10.19132: UDP, length 7
22:18:37.155209 IP 185.5.225.247.61697 > 213.202.222.10.19132: UDP, length 64
22:18:37.155290 IP 189.182.206.120.40505 > 213.202.222.10.19132: UDP, length 7
22:18:37.155471 IP 189.136.233.108.46817 > 213.202.222.10.19132: UDP, length 7
22:18:37.155527 IP 178.255.168.43.57309 > 213.202.222.10.19132: UDP, length 7
22:18:37.155569 IP 177.245.194.223.20962 > 213.202.222.10.19132: UDP, length 7
22:18:37.155571 IP 177.245.194.223.20962 > 213.202.222.10.19132: UDP, length 61
22:18:37.155740 IP 68.227.148.239.53403 > 213.202.222.10.19132: UDP, length 16
22:18:37.155742 IP 68.227.148.239.53403 > 213.202.222.10.19132: UDP, length 7
22:18:37.155743 IP 181.65.120.65.38123 > 213.202.222.10.19132: UDP, length 7
22:18:37.156008 IP 75.86.128.218.59592 > 213.202.222.10.19132: UDP, length 10
22:18:37.156057 IP 67.244.148.14.39888 > 213.202.222.10.19132: UDP, length 7
22:18:37.156089 IP 88.243.198.206.46435 > 213.202.222.10.19132: UDP, length 64
22:18:37.156182 IP 92.184^C
218719 packets captured
253561 packets received by filter
34835 packets dropped by kernel
Bei der IP 213.202.222.10 handelt es sich nicht um meine ServerIP.

@SirFail
Es ist ein Webserver installiert (ispconfig mit nur einer Privaten website) und ein teamspeak server
 

Lord Gurke

Nur echt mit 32 Zähnen
Ist die IP 213.202.222.10 denn irgendwie mit deiner "benachbart", kommt die aus dem selben Netz?
Kannst du einmal bei tcpdump zusätzlich den Parameter "-e" verwenden und gucken, ob die Pakete an deine MAC-Adresse adressiert werden?

NACHTRAG: Ist das ein dedicated Server oder ein vServer?
 
Last edited:

Pascale

New Member
Hallo,
es handelt sich um einen vServer jedoch gehört das Hostsystem ebenfalls mir.
Keiner der MAC die tcpdump ausspuckt ist einer von meinen. Ja die IP Adresse ist im gleichen /18 Netz.

Nachtrag: Ich habe meinen Hoster benachrichtigt.
 

Lord Gurke

Nur echt mit 32 Zähnen
Wollte ich gerade vorschlagen :)
Das klingt so, als wenn der Switch die MAC-Adresse auf keinem seiner Ports finden kann und deshalb den Traffic an alle Ports schickt.
Da ich die IP von außen anpingen kann und Antworten kriege, müsste theoretisch der Switch über die Antworten die MAC lernen und das Broadcasten sein lassen, es gibt aber so Corner-Cases (Firewall mit Proxy-ARP z.B.), wo das schiefgehen kann.
In jedem Fall aber etwas, wo sich der Hoster drum kümmern muss.
 

Pascale

New Member
Besten Dank, ich habe den gestrigen Tag damit verbracht den fehler bei "mir" zu lokalisieren. Das nächste mal frag ich direkt hier ;)
 
Top