Werde Wahnsinnig, Traffic hoch

[ostrohschein]

Hi Leute
Ich werde noch wahnsinnig, habe jetzt alles gecheckt und finde nicht heraus, warum ich laut Trafficübersicht in meinem Kundenmenü gestern und auch ein paar mal davor schon über 6000MB Traffic gebraucht habe.
Domains sind nicht viel besucht.
Gebt mir doch bitte einmal einen Ansatz, wie ich noch rausfinde was da läuft.
Suse 9.3 (in Moment) Plesk 8.0.1(mit SecurityPatch), xtc-shops und statische Seiten, phpBB-forum(up2date), pphlogger (KANN ER ES SEIN? Loggt 5 Domains mit)
Logs sagen nichts auffälliges, irgendwo ein Ei habe ich auch nicht finden können.
Ps ax zeigt auch nicht das was faules läuft.
Ich bin am verzweifeln.
Habe eigentlich alles schon gecheckt, aber vielleicht ist es ein Script, das läuft. Finde aber nichts. Gibt es da einen Befehl, der mir anzeigt was da Traffic verschlingt?
Freue mich auf jede Hilfe.

 

[Bierhasser]

Ich verwende vnStat - network traffic monitor for Linux um den tatsächlichen Traffik an der Netzwerkkarte zu messen. Denn Plesk oder confixx lieferte bei mir auch irgendwelche Phantasiewerte.

 

[LinuxAdmin]

ntop (sollte eigentlich bei allen Distributionen dabei sein) ist noch etwas ausführlicher, da es auch noch festhält auf welchen Ports der Traffic anfällt (und welcher Client auf der anderen Seite beteiligt war).

Viele Grüße,
LinuxAdmin

 

[ostrohschein]

ntop

Das würde ich gerne installieren, aber mein Server sagt mir das im Anhang. Kann da jemand was mit anfangen? Habe erst vorgestern ein Update gemacht und alles war i.O.

 

[LinuxAdmin]

Update != Neuinstallation. Wenn Du ntop über Yast installieren willst, brauchst Du entweder die SuSE 9.3 Installations-CD oder einen geeigneten Netzwerk-Pfad, der noch 9.3 RPMs anbietet. Da Dein Provider noch selber Patches anzubieten scheint (zumindest sagst Du, dass Du gestern noch ein Update gemacht hättest -- oder wurde etwa bei den "Updates", die Du im ganzen letzten Jahr seit dem der Service durch SuSE für 9.3 eingestellt wurde, gemacht hast, jedesmal nichts aktualisiert???), kannst Du mal schauen, ob Du da noch ein 9.3 Repository findest...
Ansonsten kannst Du auch von einer neueren SuSE Version das SRPM (also ...src.rpm) holen, installieren und mit 'rpmbuild --bb /usr/src/packages/SPECS/ntop.spec' selber kompilieren. Die neu erstellten RPMs findest Du dann in /usr/src/packages/RPMS/ und kannst sie von da aus installieren.

Viele Grüße,
LinuxAdmin

PS: Alternativ kannst Du Dir auf der ntop-Projekthomepage auch den Quellcode direkt runterladen und nach den Anweisungen in der INSTALL-Datei kompilieren und installieren.

 

[ostrohschein]

Update != Neuinstallation. Wenn Du ntop über Yast installieren willst, brauchst Du entweder die SuSE 9.3 Installations-CD oder einen geeigneten Netzwerk-Pfad, der noch 9.3 RPMs anbietet.
PS: Alternativ kannst Du Dir auf der ntop-Projekthomepage auch den Quellcode direkt runterladen und nach den Anweisungen in der INSTALL-Datei kompilieren und installieren.

Ich hirni war am falschen Server, der 9.3 geht garnix mehr mit Updaten, sorry. Hole mir denke ich das neue Image von Provider und mache 10.1 Suse drauf. Vorab hole ich mir den Source, ja.
Danke LinuxAdmin
PS: Laufen lässt man das ntop aber nicht die ganze Zeit, denn dann ist der Port (Standart 3000) ja auf(Scheune), oder?
Ich schalte ntop wieder ab nach check.

 

[bibabu]

Hallo,

ntop kann mit einem Passwort Schutz versehen werden.
Vnstat kan ich im übrigen nicht empfehlen. Die Werte sind doch teilweiße extrem von der Wirklichkeit entfernt.

 

[LinuxAdmin]

Passwortschutz ist eine Sache -- besser noch ist es, ntop so zu konfigurieren, dass es nur auf dem lokalen Interface (127.0.0.1) seine Daten anbietet und dann den Apache als Proxy (z.B. ww.meinedomain.de/netzwerk/ ebenfalls durch ein Passwort geschützt) zu gebrauchen, der die Request nach innen weiterleitet.

Viele Grüße,
LinuxAdmin

 

[ostrohschein]

Apache als Proxy (z.B. www.meinedomain.de/netzwerk/ ebenfalls durch ein Passwort geschützt) zu

Wäre cool wenn Du mir da mal näheres dazu erklären würdest. Möchte ich gerne so machen. Oder gibbet ein How>To?
Danke erst einmal
Komischerweise, war der Traffic heute morgen bei nur 160 MB circa. Werde das nochmals verfolgen, aber ändert nichts daran, dass das neue Image aufgezogen wird.

 

[Firewire2002]

Vnstat kan ich im übrigen nicht empfehlen. Die Werte sind doch teilweiße extrem von der Wirklichkeit entfernt.

Da in letzter Zeit immer alle von ntop schwärmen, hab ichs vor kurzem auch mal getestet.
Bei mir entsprachen die Werte von vnStat eher der Wahrheit als die von ntop.
Oder verrat mir bitte wie er auf 280MB Traffic in 3 Minuten auf einem Port hinter dem ein IRC Bouncer mit einem User und einer Connection kommt.
Eh nun ganz verrückte Ideen kommen wie DCC Transfers über den BNC, möchte ich sowas schon mal ausschließen. Auch eine DoS Attacke ohne das vnStat und der Trafficzähler des Hosters was mitbekommen schließe ich aus.

Traffic Angabe auf anderen Ports zeigten im übrigen auch utopische Werte.
Einzig und allein was stimmte war der Traffic für den TS2, der lag nach 12 Stunden bei knapp 1MB.

 

[ostrohschein]

Traffic Angabe auf anderen Ports zeigten im übrigen auch utopische Werte.
Einzig und allein was stimmte war der Traffic für den TS2, der lag nach 12 Stunden bei knapp 1MB.

Hm , und was ist jetz das richtige? Ich will wissen was mein Server Traffic macht, besser woher entstand der Traffic. Meine ganzen logs sich am PC und die werte ich gerade aus, aber was wichtiges, brauchbares kann ich nicht finden. Weis echt nicht mehr weiter. Bin am Grübeln und testen, mal sehen. Wenn Euch noch was einfällt, wäre net schlecht.
@Firewire Was ist TS2?
Freue mich auf eine Antwort von Dir /Euch.

 

[Firewire2002]

TS2 heißt Teamspeak Version 2. Ist ein Voice Server, ähnlich wie Ventrilo.
Wenn ntop generell falsche Werte anzeigen würde, würden es wohl nicht so viele einsetzen.
Auch bei vnStat sind mir bereits Trafficsprünge aufgefallen, die so nie stattgefunden haben.

Die IAM Variante und ntop sind bisher die einzigsten Methoden die mir bekannt sind um den Traffic pro Port zu erfassen.
Bei IAM gefällt mir die technische Umsetzung nicht, weshalb ich nach wie vor auch noch auf Suche nach einer geeigneten Methode bin.
ntop ist von der technischen Lösung her nicht schlecht, wenns mir auch brauchbare Werte angezeigt hätte.

Letzendlich bleibt nur probieren obs bei dir funktioniert.

 

[ostrohschein]

Die IAM Variante und ntop

Jo, wo wir beim Thema sind, habe es installiert nach huschi, aber das funktioniert auf Suse 10.1 nicht.
Auf 9.3 sagt er mir das ich nicht die Rechte habe traffikmail.sh auszuführen. Aber das werde ich auch noch hin bekommen, wenn nicht, vertraue ich auf eine kleine Hilfestellung hier im Forum, mal sehen.

 

[ostrohschein]

Einfach faszinierend...

...der Server ist nur per SSH(Port verlegt) erreichbar und fabriziert einen Traffic von 530 MB täglich.
Server wurde auch neu initialisiert, das soll aml einer verstehen.