Ungeklärter Traffic

[hawkspirit]

Hallo,

meinen Server habe ich letztes Wochenende freischalten lassen.
Seit Montag 0:00 habe ich jede Menge ungeklärten Traffic vom Internet.
Alle halbe Stunde gibt es Peeks, aber es gibt ständig Traffic.
Erst waren es 3 MB pro Stunde und jetzt sind es 8 MB pro Stunde vom Internet zu mir rein.
Erst dachte ich, dass irgendein Dienst Daten aus dem Internet anfordert, aber mit netstat -t habe ich keine offenen Sockets gefunden.
Per Firewall habe ich so ziemlich alle Ports dicht gemacht und mein Server schickt auch keinen Response.
Versucht da jemand periodisch meinen Server auf Schwachstellen zu testen oder woher kommt der Traffic ?

Falk

 

[Guin]

In den Access Logfiles nachgucken.

8 MB je Stunde sind nicht viel.

 

[Ilai]

selbst wenn du Traffic per Paketfilter blockst, wurde der ja trotzdem zu deinem Server transportiert, und daher natürlich auch vom Provider gezählt.
An welcher Stelle siehtst du denn den Traffic?

Wenn es Pakete auf geblockte Ports sind, kannst du nur für geschlossene Ports im Paketfilter ein Logging aktivieren, um zu sehen, über welche Ports der Traffic verursacht wird.

Es könnte sogar broadcast oder multicasttraffic sein, wobei der allerdings nicht vom Provider angerechnet werden dürfte.

Wenn der Traffic über nicht geblockte Ports entsteht, kannst du das mit z.B. tcpdump überprüfen.

BTW: sollte es sich um UDP Traffic handeln, dann siehst du den im netstat nicht unbedingt, da es keine stehende Verbindung ist.

 

[MacGyver]

es kann auch sein, dass dein Provider internen Traffic auswertet. Das könnte dann Broadcasting von den anderen Servern im RZ sein. Bei mir sind das immer so ca. 20-50kbit/s.

MfG

--------- edit ----------------

Sorry, hab nicht gesehen, dass das schon jemand geschrieben hat.