Исходящий трафик на постоянной скорости с непонятнной регулярностью

[shushpanchik]

Доброго времени суток. Такая вот ситуация сложилась. Может кто сможет помочь разобраться.

Шлюз на 10.04 х64, он же LAMP, FTP и еще несколько плюшек. Все было нормально, как вдруг непонятно по каким причинам с непонятной регулярностью исходящий трафик ровно на 1 час поднимается до 40 мегабит при ограничении канала провайдером 30/30. Загрузка процессора подлетает до 20-25% а то и 30-35%, при этом все процессы htop показывают использование процессора максимум в 1%, и это сам htop кушает именно этот 1%


При этом сёрфинг из локалки начинает дико тупить. Даже графики cacti во время автообновления в браузере очень долго обновляются.

cacti наглядно показывает всю это ерунду:

Выловить закономерность - по графикам видно, что вроде как есть регулярность но она непостоянная. Например:
9 декабря скачки были 12.00-13.00, 14.00-15.00, 18.00-19.00 (основные)
10 декабря скачки были 11.00-12.00, 14.00-15.00 (основные) на момент написания поста еще не было 16.30
а 7 декабря это 12-13, 16-17 и небольшой 22-23.

При этом точно известно что трафик НЕ идет из локалки. Об этом говорит тот же cacti.


Только этот 1 час заканчивается - все как рукой снимает.

Отследить откуда ноги растут не знаю как ибо не сталкивался с подобным. Посему прошу помощи у сообщества. Какой выхлоп дать?

Заранее благодарен.

[DDDstart]

Если трафик не идет из локалки, откуда же он тогда идет? с самого сервака?

Код: [Выделить]

iftop -i eth0
iftop -i eth1и т.д. в моменты нагрузки
сразу станет видно, кто и куда льет

[shushpanchik]

Если трафик не идет из локалки, откуда же он тогда идет? с самого сервака?

Ну получается что так.

Код: [Выделить]

iftop -i eth0
iftop -i eth1и т.д. в моменты нагрузки

Как "нагрузится" - выхлопну

[DDDstart]

Как "нагрузится" - выхлопну

Только по всем интерфейсам

[shushpanchik]

Не знаю что тут можно увидеть если честно, но выкладываю.

eth0


eth1


ppp0


текущий htop

[DDDstart]

Ну как же не видно, а что за почта нагружает ppp0 канал? По SMTP на украинские почтовые сервера.  ))

[shushpanchik]

С чего вы взяли что трафик идет по SMTP? Если вы про smtp.widzew.com.ua - так это и есть ДНС моего сервера, а точнее его PTR прописанный у провадера.

Я просто не врубаюсь как можно в iftop определить куда идет исходящий трафик в таком объеме.

[DDDstart]

А трафик плавно распределяется между, в вашем случае, порядка 25 соединений. Куда идет смотрите в правом столбце. Все ip видно. Стрелочка (--->) вправо показывает направление трафика, на какой ip. Какая то беда с bcrelay.

[shushpanchik]

Все дело в том что в состоянии "покоя" в iftop происходит все то же самое. При этом исходящий трафик падает до более-менее вменяемого значения 10-15 мегабит (отдача веб-контента, и то, я считаю что это много для статических малораскрученных сайтов), htop в это же время говорит что проц нагружен на 5-7%, но если смотреть по процессам - нет ни одного процесса который потреблял ресурсы проца. Максимум потребление 0.1-0.5%

Когда вся эта богодельня опять подскакивает до 40 мегабит (напомню, при ограничении в 30), htop все так же говорит что нет процессов потребляющих ресурсы проца, но при этом индикатор загрузки проца пляшет от 25 до 50%

Куда, и главное ЧТО отправляется - ХЗ...

[DDDstart]

Когда вся эта богодельня опять подскакивает до 40 мегабит (напомню, при ограничении в 30), htop все так же говорит что нет процессов потребляющих ресурсы проца, но при этом индикатор загрузки проца пляшет от 25 до 50%

Ну как нет процессов, а /usr/sbin/bcrelay -i eth0 -o ppp[0-9].* -n?
27% CPU!

в pptpd.conf bcrelay на какой интерфейс кажет?

[shushpanchik]

Без него была такая же картина. bcrelay это работает pptpd сервер. Но без не го, повторюсь, была такая же картина

[chemtech]

shushpanchik,
покажите

Код: [Выделить]

sudo nmap -sT -O localhost

Код: [Выделить]

netstat -nulp

Код: [Выделить]

netstat -anp

Код: [Выделить]

netstat -naptu

Код: [Выделить]

iptraf

Код: [Выделить]

tcptrack

Код: [Выделить]

nethogs ethX

ethX - интерфейс получающий интернет
недостающее доустановить.

[shushpanchik]

chemtech, гениально! Позапускал в режиме "покоя", много интересного увидел! Завтра на работе во время нагрузки всё это запущу и выложу. Предварительно есть уже кое-какие подозрения, но пока не буду говорить чтобы не сглазить!

[AnrDaemon]

nmap'ить localhost бессмысленно. Разве что больше делать нечего.
Если и делать nmap - то с другой машины в сети, лучше даже из интернета.

[shushpanchik]

Сегодня ситуация поменялась. cacti показывает что исходящий трафик загружен уже больше чем ровно час.

Графики cacti


iptraf


tcptrack -i ppp0


nethogs ppp0


Выхлопы остальных команд - в аттаче.