全球主机交流论坛

标题: 咱来说说母机监控小机运行的网站 [打印本页]

作者: 360安全卫士 时间: 2012-7-5 14:09
标题: 咱来说说母机监控小机运行的网站
本帖最后由 360安全卫士于 2012-7-5 14:19 编辑

喷子 ---------------------------> 绕道

首先来看下HTTP协议请求的一个example，
比如刷新HOSTLOC的时候，浏览器会向64.62.177.189的主机发送如下的HTTP数据包：

Request URL:http://fd.vvwvv.eu.org/forum.php?mod=ajax&action=forumchecknew&fid=45&time=1341468405&uncheck=1&inajax=yes&inajax=1&ajaxtarget=forumnew
Request Method:GET
Status Code:200 OK
Accept:*/*
Accept-Charset:GBK,utf-8;q=0.7,*;q=0.3
Accept-Encoding:gzip,deflate,sdch
Accept-Language:zh-CN,zh;q=0.8
Connection:keep-alive
Cookie:为安全隐藏;
Host:www.hostloc.com
Referer:http://fd.vvwvv.eu.org/forum-45-1.html
User-Agent:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5
X-Requested-With:XMLHttpRequest

复制代码

假设在嗅探到了网络数据包，分析抓到上面包时，对我们有用的，可能就只有那个URL和目标主机的IP地址（小机IP）。为什么不建议在母机上嗅探？朋友被网监监控中，QQ秒掉，网络暴卡。况且若在母机上嗅探，势必要用到正则表达式，就算效率再高再迅速，在大量请求经过时也会占用不少的CPU，母机上的小机的性能会打折扣。而网关（若自带有此功能的最好）上有专门硬件设备，况且网关通常不运行其它服务，CPU占用牺牲一点也无所谓的，

建议嗅探入流量。

https流量无法嗅探到具体URL。

好了，编辑完毕，喷子来舔。

作者: 360安全卫士 时间: 2012-7-5 14:16

编辑完毕

作者: liudehua 时间: 2012-7-5 14:18
360最近很活跃。

作者: domin 时间: 2012-7-5 14:19
网关也就是路由, 一般没直接分析数据包的功能, 都要把流量转发到别的设备分析.
流量不大的话本机分析其实占不了多少资源

作者: 360安全卫士 时间: 2012-7-5 14:20

domin 发表于 2012-7-5 14:19
网关也就是路由, 一般没直接分析数据包的功能, 都要把流量转发到别的设备分析. ...

网关可以像刷多拨那样刷机么

作者: domin 时间: 2012-7-5 14:20

360安全卫士发表于 2012-7-5 14:20
网关可以像刷多拨那样刷机么

家用的可以...

作者: 慕容咩咩 时间: 2012-7-5 14:21
唔。。。搞个vyatta。

作者: 360安全卫士 时间: 2012-7-5 14:22

慕容咩咩发表于 2012-7-5 14:21
唔。。。搞个vyatta。

贵啊，我要几年不吃饭才买得起一个小plan啊、

作者: foxconndmd 时间: 2012-7-5 14:23
服务器也就是监控下资源占用情况，网络分析就有点不尊重客户了，再说资源也是很大的开销，ISP路由上可用sflow监控。

作者: domin 时间: 2012-7-5 14:24

360安全卫士发表于 2012-7-5 14:22
贵啊，我要几年不吃饭才买得起一个小plan啊、

用免费版

作者: Administrator 时间: 2012-7-5 14:29
提示: 作者被禁止或删除内容自动屏蔽

作者: Captain 时间: 2012-7-5 14:30
分光懂么

作者: Administrator 时间: 2012-7-5 14:30
提示: 作者被禁止或删除内容自动屏蔽

作者: qiqi13245 时间: 2012-7-5 14:31

Administrator 发表于 2012-7-5 14:30
我的母鸡上现在每分钟运行10秒tcpdump抓包分析攻击，占用的资源自己去看，一帮小P孩瞎JB JW。。。 ...

tcpdump是个好东西啊

作者: 360安全卫士 时间: 2012-7-5 14:31

Administrator 发表于 2012-7-5 14:30
我的母鸡上现在每分钟运行10秒tcpdump抓包分析攻击，占用的资源自己去看，一帮小P孩瞎JB JW。。。 ...

哎呦，你是没遇上大流量而已。大流量来了你就哭了

作者: Administrator 时间: 2012-7-5 14:33
提示: 作者被禁止或删除内容自动屏蔽

作者: qiqi13245 时间: 2012-7-5 14:34

Administrator 发表于 2012-7-5 14:29
等有人放上XX站WJ找过来的时候看谁会尊重你
等有人放上SF站被攻击别的受影响客户找过来看谁会尊重你

我记得很多机房的处理是你流量到你这了没堵在机房他就不管你了。。

另外XX站国内没有处理时间的么)话说A大什么时候也做国内的了

作者: qiqi13245 时间: 2012-7-5 14:36

360安全卫士发表于 2012-7-5 14:31
哎呦，你是没遇上大流量而已。大流量来了你就哭了

tcpdump没用过不过我倒是在windows下用过winshark 情况不是很糟。大概是几W pps左右

作者: domin 时间: 2012-7-5 14:37

qiqi13245 发表于 2012-7-5 14:36
tcpdump没用过不过我倒是在windows下用过winshark 情况不是很糟。大概是几W pps左右 ...

几Wpps你还想怎样...
正常流量几百M才几Wpps

作者: qiqi13245 时间: 2012-7-5 14:37

domin 发表于 2012-7-5 14:37
几Wpps你还想怎样...
正常流量几百M才几Wpps

- -没把。。我这边是做socket服务 30M宽带就几W了

作者: domin 时间: 2012-7-5 14:38

qiqi13245 发表于 2012-7-5 14:37
- -没把。。我这边是做socket服务 30M宽带就几W了

你那估计比较特殊, 网站的话基本上就是很小的PPS.

作者: qiqi13245 时间: 2012-7-5 14:40

domin 发表于 2012-7-5 14:38
你那估计比较特殊, 网站的话基本上就是很小的PPS.

网站的确很少。。

作者: magicbear 时间: 2012-7-5 14:41
urlsniff

作者: qiqi13245 时间: 2012-7-5 14:42

magicbear 发表于 2012-7-5 14:41
urlsniff

B站 PPS多少。求详细

作者: 360安全卫士 时间: 2012-7-5 14:45

Administrator 发表于 2012-7-5 14:33
一个VPS50万PV算大么
什么都搞不了还出来瞎扯

(, 下载次数: 0)

我所指的大流量是突发、
上图是我网站在用CHINACACHE时的峰值带宽。注意！是纯HTTP请求，正常请求，无CC攻击，无DDOS。
这才是大流量（意味着你如果在这时用TCPDUMP，一秒钟处理28/8 MB的数据，你的母机吃得消么？？）

至于你说我什么都做不成

你自己客户的一个网站：
(, 下载次数: 0)
必要地打了下马赛克，至于是哪个客户你自己也清楚。
我不想证明什么。只是想说，以前回你的帖奉承你是尊重你，但不是承认你就牛逼了。

自己拿不出解决方案，还说别人无知，今天我算知道了什么是井底之蛙，你网站上线当天被打得头都抬不起来（不是我干的），而自己居然还淡定地在封了几个小时的IP。

OK，我也吐槽完毕。淡定点，心情好多了。

最后这张图是有感而发的。在某些人眼你，你是大牛。在别的某些人眼里，你就是一个小丑。
(, 下载次数: 0)

执着是好事，别把技术当做自己的权威。

作者: domin 时间: 2012-7-5 14:47

360安全卫士发表于 2012-7-5 14:45
我所指的大流量是突发、
上图是我网站在用CHINACACHE时的峰值带宽。注意！是纯HTTP请求，正常请求，无C ...

有点道理, 虽然我不太认同...不要吵嘛

作者: star826 时间: 2012-7-5 14:50
提示: 作者被禁止或删除内容自动屏蔽

作者: magicbear 时间: 2012-7-5 14:51
Xeon 5150 2W PPS
每秒600 HTTP请求 urlsnarf 10% CPU

纯静态HTTP 无CC

作者: Administrator 时间: 2012-7-5 14:52
提示: 作者被禁止或删除内容自动屏蔽

作者: magicbear 时间: 2012-7-5 14:53

360安全卫士发表于 2012-7-5 14:45
我所指的大流量是突发、
上图是我网站在用CHINACACHE时的峰值带宽。注意！是纯HTTP请求，正常请求，无C ...

我....超过200Mbps我都用tcpdump...

作者: qiqi13245 时间: 2012-7-5 14:54

magicbear 发表于 2012-7-5 14:51
Xeon 5150 2W PPS
每秒600 HTTP请求 urlsnarf 10% CPU

求详细PPS

作者: 360安全卫士 时间: 2012-7-5 14:54

magicbear 发表于 2012-7-5 14:53
我....超过200Mbps我都用tcpdump...

纯TCPDUMP？还是TCPDUMP+正则表达式？另外你是用开小机的母机来运行的么？

作者: magicbear 时间: 2012-7-5 14:55

360安全卫士发表于 2012-7-5 14:54
纯TCPDUMP？还是TCPDUMP+正则表达式？另外你是用开小机的母机来运行的么？

TCPDump+表达式上面有小机不过全是私家用非商业

作者: magicbear 时间: 2012-7-5 14:56

qiqi13245 发表于 2012-7-5 14:54
求详细PPS

什么详细PPS 要说攻击的话..我这边峰值处理超过800万PPS

作者: qiqi13245 时间: 2012-7-5 14:58

magicbear 发表于 2012-7-5 14:53
我....超过200Mbps我都用tcpdump...

tcpdump对于高PPS来说可不是好事。

作者: 360安全卫士 时间: 2012-7-5 14:59

magicbear 发表于 2012-7-5 14:55
TCPDump+表达式上面有小机不过全是私家用非商业

既然占用CPU不低，就不应该在给客户开小机的母机上运行此类程序。

没想到我的一建议帖居然引来如此是非。OK让SB一意孤行去吧。下周搬走，哦也。

作者: qiqi13245 时间: 2012-7-5 15:00

magicbear 发表于 2012-7-5 14:56
什么详细PPS 要说攻击的话..我这边峰值处理超过800万PPS

普通正常访问的时候PPS

作者: 哥坏人 时间: 2012-7-5 15:00
再逼，A大也不告诉你怎么解决的

作者: magicbear 时间: 2012-7-5 15:01

360安全卫士发表于 2012-7-5 14:59
既然占用CPU不低，就不应该在给客户开小机的母机上运行此类程序。

没想到我的一建议帖居然引来如此是非 ...

反正不关我事路过....也就用过10-20% CPU...还好吧要是沒有oversold的话....

作者: magicbear 时间: 2012-7-5 15:02

qiqi13245 发表于 2012-7-5 15:00
普通正常访问的时候PPS

秘密嘿嘿提示: 比上面他们所人有说的PPS都要高N倍

作者: qiqi13245 时间: 2012-7-5 15:03

magicbear 发表于 2012-7-5 15:02
秘密嘿嘿提示: 比上面他们所人有说的PPS都要高N倍

这个有啥不好透漏的好做参考啦

作者: dstwhk 时间: 2012-7-5 15:03
enjoy又要搬走了

作者: 360安全卫士 时间: 2012-7-5 15:04

dstwhk 发表于 2012-7-5 15:03
enjoy又要搬走了

都是你们逼我的

作者: magicbear 时间: 2012-7-5 15:04
本帖最后由 magicbear 于 2012-7-5 15:05 编辑

qiqi13245 发表于 2012-7-5 15:03
这个有啥不好透漏的好做参考啦

正常上百万PPS

(, 下载次数: 0)

作者: qiqi13245 时间: 2012-7-5 15:07

magicbear 发表于 2012-7-5 15:04
正常上百万PPS

我擦碉堡

作者: mix 时间: 2012-7-5 15:11
结贴了？

作者: 360安全卫士 时间: 2012-7-5 15:12

magicbear 发表于 2012-7-5 15:04
正常上百万PPS

你的带宽占用比我那突发相差多少倍？

作者: magicbear 时间: 2012-7-5 15:13

360安全卫士发表于 2012-7-5 15:12
你的带宽占用比我那突发相差多少倍？

超过100倍

我单服务器都超过你那突发30倍+

作者: qiqi13245 时间: 2012-7-5 15:14

magicbear 发表于 2012-7-5 15:13
超过100倍

- -不对呀几百万PPS 对于http来说不正常难道宽带几十G。。

作者: magicbear 时间: 2012-7-5 15:16

qiqi13245 发表于 2012-7-5 15:14
- -不对呀几百万PPS 对于http来说不正常难道宽带几十G。。

我的确有超过10G的带宽

作者: qiqi13245 时间: 2012-7-5 15:16

magicbear 发表于 2012-7-5 15:16
我的确有超过10G的带宽

- -那也不至于全部跑满吧

作者: domin 时间: 2012-7-5 15:17

qiqi13245 发表于 2012-7-5 15:14
- -不对呀几百万PPS 对于http来说不正常难道宽带几十G。。

如果是HTTP的话就太叼了

作者: magicbear 时间: 2012-7-5 15:18

qiqi13245 发表于 2012-7-5 15:16
- -那也不至于全部跑满吧

160多W PPS不是纯HTTP 但大概有70-80%是HTTP的

作者: domin 时间: 2012-7-5 15:20

magicbear 发表于 2012-7-5 15:18
160多W PPS不是纯HTTP 但大概有70-80%是HTTP的

那有10多G带宽了...我猜是网盘, tube之类的

作者: qiqi13245 时间: 2012-7-5 15:20

domin 发表于 2012-7-5 15:20
那有10多G带宽了...我猜是网盘, tube之类的

bilibili.tv

不过我看也不像

作者: 360安全卫士 时间: 2012-7-5 15:21

domin 发表于 2012-7-5 15:20
那有10多G带宽了...我猜是网盘, tube之类的

很明显那位是位网络项目的大牛

作者: domin 时间: 2012-7-5 15:23
相比之下我的何其可怜, 带宽都空着..浪费掉...其中一个10G口的PPS...

作者: magicbear 时间: 2012-7-5 15:24

domin 发表于 2012-7-5 15:23
相比之下我的何其可怜, 带宽都空着..浪费掉...其中一个10G口的PPS...

快拿来给我烧哈哈

作者: 360安全卫士 时间: 2012-7-5 15:25

domin 发表于 2012-7-5 15:23
相比之下我的何其可怜, 带宽都空着..浪费掉...其中一个10G口的PPS...

让我猜下mrtq是什么意思

作者: domin 时间: 2012-7-5 15:25

360安全卫士发表于 2012-7-5 15:25
让我猜下mrtq是什么意思

MRTG - Tobi Oetiker's MRTG - The Multi Router Traffic Grapher

作者: magicbear 时间: 2012-7-5 15:27

domin 发表于 2012-7-5 15:25
MRTG - Tobi Oetiker's MRTG - The Multi Router Traffic Grapher

怎么看成mrtq......有点高端=_,= 我现在用自己的监控 mrtg配置在数量多时太烦了

作者: qiqi13245 时间: 2012-7-5 15:28

domin 发表于 2012-7-5 15:25
MRTG - Tobi Oetiker's MRTG - The Multi Router Traffic Grapher

10G碉堡
土豪啊

作者: domin 时间: 2012-7-5 15:29

magicbear 发表于 2012-7-5 15:27
怎么看成mrtq......有点高端=_,= 我现在用自己的监控 mrtg配置在数量多时太烦了 ...

推荐observium

作者: 乐猪 时间: 2012-7-5 16:53

作者: xxx 时间: 2012-7-7 10:03
本帖最后由 xxx 于 2012-7-7 10:05 编辑

一个小站的流量.....

欢迎光临全球主机交流论坛 (https://fd.vvwvv.eu.org/)