排查服务器异常流量教程详解

2024-08-21 21:05:03

引言

这篇文章将介绍当WEB服务器报警，提示磁盘使用率问题和带宽满载时的一些排查思路和解决方案。

首先，我们一定要配置服务器的云监控，如果是云厂商的服务器都有监控服务，开通即可。

如果是自建机房，监控报警策略也是必须搭建的。

磁盘使用率报警

原因分析

日志没有及时迁移或清理
程序异常输出了大量的垃圾文件
挂载的硬盘存储空间不足，不适应业务发展，需要挂载新的磁盘。

解决方案

1. 日志迁移或清理

我们需要Nginx日志和项目运行中的关键日志，方便定位问题、数据分析。

日志迁移的思路很简单，目前主流的云厂商都支持日志迁移和存储服务，且成本不高。

如果是自建的服务，可以挂载专门的存储硬盘，不和业务服务器耦合在一起，将日志进行单独存储。

2. 日志清理

cd /

查找到大文件，比如找到大于100M的文件

find . size +100M

没用的日志大文件置为空(不要直接删除，正在被使用的文件是无法直接删除的)

cat /dev/null &gt; /data/logs/php-fpm/error.log

网站流量异常，一直在报警

当网站流量报警时喜忧参半，如果是因为搞活动或者网站内容命中了热点，被搜索引擎推荐，那真是像买彩票中奖一样高兴。

不过，大多数情况，网站在毫无预兆的情况下突然打满带宽，大概率是被恶意攻击了。

下面介绍一下我的排查思路

首先我登录了网站的统计服务平台，发现PV/UV等关键数据并没有太大变化，但是服务器的带宽却被打满了，说明异常流量不是通过刷网站页面导致的，可能是通过刷接口导致的。

通过分析日志排查异常流量

cd /data/logs/nginx

查看访问最频繁的前10个IP

awk '{print $1}' access.log | sort -n |uniq -c | sort -rn | head -n 10

分析结果：

发现访问量最高的ip是自身服务器的外网ip
发现有一组美国谷歌云的异常访问
发现有一个北京xx网的异常访问
其他基本是正常流量

解决异常流量

公网ip访问量最大：

这是一个N年前的老项目，开发时是有一些知识盲点的，没有考虑到内网传输要比外网传输的速度快很多。

通过下面的方式替换了外网传输为内网传输：

项目中的外网ip替换为内网ip（发现项目代码并没有直接访问外网ip，而是访问了子项目的域名）
配置Linux服务器的host

# 打开Linux的hosts配置文件
vim /etc/hosts
# 将项目中请求的多个域名解析到本地的ip地址
127.0.0.1 多个域名用空格分隔

优化完内网传输之后，就开始最重要的事情了：

封禁恶意ip

创建（打开）黑名单配置文件

 vim /etc/nginx/blackip.conf

将black.conf添加到nginx.conf中 (代码段中的...代表省略的内容)

http{
.
.
.
    #ip黑名单
    include /etc/nginx/blackip.conf;
.
.
.
}

添加要封禁的黑名单

#屏蔽单个ip访问
deny IP;
#允许单个ip访问
allow IP;
#屏蔽所有ip访问
deny all;
#允许所有ip访问
allow all;
#屏蔽整个段：从127.0.0.1到127.255.255.254
deny 127.0.0.0/8;
#屏蔽IP段：从127.45.0.1到127.45.255.254
deny 127.45.0.0/16;
#屏蔽IP段：从127.45.6.1到127.45.6.254
deny 127.45.6.0/24;

重启Nginx服务

nginx -s reload

停掉不用的服务

在查询Nginx的log时，发现一些不再用的服务仍然有请求日志。

果断停掉这些服务。

统计访问最多的url 前10名

cat access.log |awk '{print $7}'| sort|uniq -c| sort -rn| head -10 | more

封禁了不再使用url

小程序接口封禁
网站快报相关的接口封禁

优化结果

在进行上述操作后，收到了服务器报警恢复正常的短信通知。

今天早晨登录服务器监控后台，发现效果是灰常明显的：

红线左侧是处理异常流量前的带宽波动图，右侧是处理后的波动图，浅色波动线是昨天的流量情况。

总结

这是7年前刚入行时做的项目，单机部署，排查思路比较简单清晰：查日志，封ip。

在微服务+分布式成为主流的今天，又要用哪些思路和工具排查问题呢？

以上就是排查服务器异常流量教程详解的详细内容，更多关于排查服务器异常流量的资料请关注我们其它相关文章！

android 捕捉异常并上传至服务器的简单实现

在项目中,我们的应用经常会遇到崩溃的情况,如果你的项目已经发送到了应用市场上,那么应用发生的崩溃开发人员是开不到的,所以我们要想办法将异常信息传到服务器上,便于开发人员查看并作出修改.Google考虑到这一点,也提供了Thread.UncaughtExceptionHandler接口来实现这一问题. 创建Crash异常捕获很简单,主要的步骤有: 1.创建BaseApplication继承Application并实现Thread.UncaughtExceptionHandler 2.通过Threa
服务器免密登录的实现以及异常解决方案

当我们在现在创建测试用Linux服务器或者服务器集群的时候,需要通过终端连接自己创建的服务器. 实现步骤分为2步: 1.生成SSH Key: 2.覆盖authorized_keys文件 1.生成SSH Key 我们看到生成了以上一些列文件. 2.覆盖authorized_keys文件因为authorized_keys文件中存储某个ssh key的公钥.如果不覆盖的话,就只能使用这个公钥登录了.不知道理解的对不对.欢迎指正. 3.配置无效,还是需要输入密码的解决方案但是,很多人在这样配置之后还
Android实现捕获未知异常并提交给服务器的方法

本文实例讲述了Android实现捕获未知异常并提交给服务器的方法.分享给大家供大家参考,具体如下: 在Android应用中,即便应用已经投放市场,但有时也会遇到一些未知的异常,此时如果能够获得用户的反馈信息,那么对于我们应用的开发是一个很好的帮助为了实现这样的效果,我们需要做如下工作写一个类实现UncaughtExceptionHandler接口,重写uncaughtException方法功能描述:当应用出现了未知异常,应用强制退出,应用再次启动时,提示用户是否将错误信息反馈给开发者 pu
Windows服务器上lsass.exe进程CPU使用率异常问题排查方法

近期有几台服务器相继出现 lsass.exe 占用CPU过高,也不算太高,而且过了一段时间又会恢复正常,CPU过高直接造成网站打开很慢,周而反复. 在CPU跑高的时候,伴随着一个现像就是网络的浮动,有时候上传居然达到了30M - 90M/s,对外攻击,第一时间就想到有可能是这个原因,那具体怎么查呢? 常见的对外文件,这东西网上搜一下就能找到. 复制代码代码如下: <?php set_time_limit(86400); ignore_user_abort(True); $packets = 0
nginx服务器异常502 bad gateway原因排查

服务器进行公众号粉丝数据同步以及批量推送报错502 根据错误信息可以判定是后端的问题,502错误的原因有很多种,但总的来说就是服务器处理不过来了 1.首先查看服务器日志 1)先查nginx日志,不熟悉的可以从nginx.conf中获取error_log的路径,找到错误如下: 发现nginx进程处理的连接数不够用,单个进程处理的连接数超过了nginx.conf配置的worker_connections值通常worker_connections的值可以参考单个进程打开的最大连接数,命令为:ulim
排查服务器异常流量教程详解

目录引言磁盘使用率报警原因分析解决方案 1. 日志迁移或清理 2. 日志清理网站流量异常,一直在报警通过分析日志排查异常流量首先切换到日志目录,比如我的目录是查看访问最频繁的前10个IP 分析结果: 解决异常流量公网ip访问量最大: 封禁恶意ip 停掉不用的服务统计访问最多的url 前10名封禁了不再使用url 优化结果总结引言这篇文章将介绍当WEB服务器报警,提示磁盘使用率问题和带宽满载时的一些排查思路和解决方案. 首先,我们一定要配置服务器的云监控,如果是云厂商的
Ubuntu 用vsftpd 配置FTP服务器教程详解

本文在Ubuntu Server 14.04 amd64系统测试. 安装ftp sudo apt-get install vsftpd 配置vsftpd.conf sudo nano /etc/vsftpd.conf #禁止匿名访问 anonymous_enable=NO #接受本地用户 local_enable=YES #允许上传 write_enable=YES #用户只能访问限制的目录 chroot_local_user=YES #设置固定目录,在结尾添加.如果不添加这一行,各用户对应自己
Linux server配置安装Java与Tomcat服务器教程详解

系统:Ubuntu 16.04 dev_desktop 1.Java安装并配置环境变量 (1)从Java官方网站下载最新版JDK: http://www.oracle.com/technetwork/java/javase/downloads/index.html 下载jdk压缩包 jdk-8u144-linux-x64.tar.gz (2) 将压缩包解压并复制到/usr/lib 目录下 tar -zxvf jdk-8u144-linux-x64.tar.gz sudo cp -r ./jdk
ubuntu 安装openssh服务器的教程详解

1.安装openssh 首先得安装 openssl 和zlib 安装openssl ---下载openssl-1.0.1j.tar.gz,解压到/usr/openssl/目录下进入解压目录执行./config -fPIC 如下图安装zlib---下载zlib-1.2.8.tar.gz解压到/usr/zlib/目录下执行./configure make 和 make install命令 ok 2.下载openssh.tar.gz包解压放在/usr/openssh/目录下解压如图执行 .
Spring boot项目部署到云服务器小白教程详解

本篇文章主要介绍了Spring boot项目部署到云服务器小白教程详解,分享给大家,具体如下: 测试地址:47.94.154.205:8084 一.Linux下应用Shell通过SSH连接云服务器 //ssh 用户名@公网IP ssh josiah@ip // 输入密码二.开始搭建SpringBoot的运行环境 1．安装JDK并配置环境变量 1) 打开JDK官网 www.oracle.com 2) 找面最新对应的JDK版本,下载这里要注意的一个问题是:云服务器下载JDK时一定要在本地去ora
云服务器宝塔面板的安装图文教程详解

0x01.安装宝塔面板宝塔面板是一个非常简单易用的服务器运维面板,可视化面板,减弱了新手在应对命令式操作Linux服务器时的恐惧感.在安装该面板后,不需要再在服务器上用命令行手动安装.配置Nginx 服务器这些必须的环境配置软件,只需要一键即可完成环境配置.软件安装,对新手以及想快速开发的人员特别友好! 系统要求(来自官方) 内存:512M以上,推荐768M以上(纯面板约占系统的60M内存) 硬盘:100M以上可用的硬盘空间(纯面板占约20M的磁盘空间) 系统:CentOS 7.1+(Ubun
Django+python服务器部署与环境部署教程详解

需要准备环境:python3.6.vultr(或者其他服务器).xshell 第一步:python安装必备环境Django库 Xshell链接远程主机: 点击连接之后:弹窗输入访问用户及密码,一般为root用户成功连接到目标服务器: [root@vultr ~]# 安装python以及需要环境(此为安装完python3.6环境),运行pip安装即可: pip install django 提示Success安装成功第二步:项目创建首先cd到自己想要新建项目的路径: 我这里选择的是在data
Go错误和异常CGO fallthrough处理教程详解

目录 fallthrough 代码示例执行结果 CGO 错误&异常处理错误:error 处理异常:panic&recover panic&defer defer执行顺序总结对比Java.C++ 错误异常互相转换 fallthrough 在一个 switch 块内,每个 case 无需声明 break 来终止,如果想顺序执行使用fallthrough: 如果我们想强制执行满足条件case的后一个case,也可以通过设置fallthrough的方式: 代码示例 package
Struts2数据输入验证教程详解

一.前言 1.1.什么是输入验证?为什么需要输入验证? 在上一篇文章中,我们学习了数据类型转换,我们提到了表示层数据处理的两个方法,也提到了用户输入数据需要进行类型转换才能得到我们想要的数据,那么,我们怎么确定类型转换后的数据,是我们想要的数据呢?这里有点绕.你可以这样想:一个成年男子年龄是18岁,你现在想要得到18这个数据,但是,用户输入32,经过类型转换也是对的,但是数据不是你想要的.这时候,我们要怎么办?所以输入验证在这里就有用处了. 类型转换和输入验证的关系是:类型转换是输入验证的前提,
vue项目前端错误收集之sentry教程详解

sentry简介 Sentry 是一个开源的错误追踪工具,可以帮助开发人员实时监控和修复系统中的错误.其专注于错误监控以及提取一切事后处理所需的信息;支持几乎所有主流开发语言( JS/Java/Python/php )和平台, 并提供了web来展示输出错误. sentry官网: https://sentry.io/ sentry安装 sentry 是一个开源的工具,可以自行搭建. 官方支持两种安装和运行 Sentry 服务器的方法, Docker 和 Python .推荐使用 Docker .