Узнать на какой внешний IP уходит больше всего трафика на VPS?
Собственно как узнать на какой внешний IP уходит больше всего трафика на VPS и желательно с какого порта.
Раз-два в месяц на VPS (Linux, Debian 7) кто-то делает очень большой (аномальный) исходящий трафик, хотелось бы узнать с какого IP это происходит и к какому порту подключается.
В реальном времени нет возможности мониторить весь день тем же iptraf, пробовал писать им в лог - но не заметил там подробной статистики по трафику. Нужна простая программа, которая могла бы писать в лог желательно в порядке убывания трафика по каждому IP.
Собственно как реализовать желаемое?
запустить netflow, можно прям на этом сервере.
модуль ipt_netflow для iptables
Им собираем трафик, отдаем на коллектор, его можно поднять тут же с помощью flow-tools. Ну и потом отчет через flow-report. В манах есть даже нужный вам пример, насколько я помню.
Пробовал и этот. Можно ли полную команду для записи в лог, что бы там указывался трафик по каждому IP?
запускал так:
iptraf-ng -i eth0 -B -L /var/log/iptraf/traf.log
вывод такой:
Sat Aug 1 15:32:27 2015; ******** IP traffic monitor started ********
Sat Aug 1 15:32:27 2015; TCP; eth0; 176 bytes; from 192.168.1.1:1165 to 192.168.1.100:1935; first packet
Sat Aug 1 15:32:27 2015; TCP; eth0; 40 bytes; from 192.168.1.100:1935 to 192.168.1.1:1165; first packet
Sat Aug 1 15:32:32 2015; UDP; eth0; 71 bytes; from 192.168.1.10:62920 to 192.168.1.100:53
Sat Aug 1 15:32:32 2015; UDP; eth0; 71 bytes; from 192.168.1.100:53 to 192.168.1.10:62920
Sat Aug 1 15:32:40 2015; TCP; eth0; 64 bytes; from 192.168.1.17:60896 to 92.51.156.82:5938; first packet
Sat Aug 1 15:32:40 2015; TCP; eth0; 64 bytes; from 92.51.156.82:5938 to 192.168.1.17:60896; first packet
Sat Aug 1 15:32:41 2015; TCP; eth0; 46 bytes; from 192.168.1.17:56920 to 173.194.113.196:443; first packet
Sat Aug 1 15:32:41 2015; TCP; eth0; 52 bytes; from 173.194.113.196:443 to 192.168.1.17:56920; first packet
IP компьютера 192.168.1.100
В момент монитора с адреса 192.168.1.100 на адрес 192.168.1.1 шел очень большой трафик и его видно если запустить графически iptraf-ng. В логах - этого не видно.