TS: Auswerten von /proc/net/dev bei Debian 7

Hallo und guten Tag,

ich habe da ein Verständnisproblem mit /proc/net/dev auf meinem Debian-7-Server

Inter-|   Receive                                                |  Transmit
 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed
    lo: 538471269 5624416    0    0    0     0          0         0 538471269 5624416    0    0    0     0       0          0
  eth1:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0
  eth0: 963204783326 5040429482    0 10345912    0     0          0 1746789178 3120417271773 2203167750    0    0    0     0       0          0

(Sorry für die Darstellung. Warum die Zeilen hier nicht breit angezeigt werden, weiß ich nicht.)

Wie kann es sein, dass bei eth0 auf der Transmit-Seite unter "bytes" ein kleinerer Wert steht, als bei "packets"? Das Ist das eventuell vertauscht?

Ich versuche, meinen Traffic in den Griff zu bekommen.

Grüße
TS

--
es wachse der Freifunk
http://freifunk-oberharz.de

akzeptierte Antworten

  1. Tach!

    Wie kann es sein, dass bei eth0 auf der Transmit-Seite unter "bytes" ein kleinerer Wert steht, als bei "packets"? Das Ist das eventuell vertauscht?

    Ja, die Zuordnung der Werte zu den Spalten, deinerseits.

    dedlfix.

    1. Hallo Dedlfix,

      Wie kann es sein, dass bei eth0 auf der Transmit-Seite unter "bytes" ein kleinerer Wert steht, als bei "packets"? Das Ist das eventuell vertauscht?

      Ja, die Zuordnung der Werte zu den Spalten, deinerseits.

      Schluck stimmt :-O

      Das, was ich für Transmit gehalten hatte, war Multicast vom Receive. Dann habe ich tatsächich inzwischen 8.8 GB Outbound-Traffic am Tag. Da muss ich jetzt dringend mal fetstellen, woher der stammt. Es ist ja kaum 'was drauf auf dem server..., bis auf ca. 150 geparkte Domains und mein Mailserver.

      Wie fang ich da jetzt am besten an herauszufinden, wer (also welche Applipationen und welche Domains) den Traffic verursacht?

      Grüße
      TS

      --
      es wachse der Freifunk
      http://freifunk-oberharz.de
      1. Hallo,

        Dann habe ich tatsächich inzwischen 8.8 GB Outbound-Traffic am Tag. Da muss ich jetzt dringend mal fetstellen, woher der stammt. Es ist ja kaum 'was drauf auf dem server..., bis auf ca. 150 geparkte Domains und mein Mailserver.

        was meinst du mit geparkte Domains? Werden die von einem Webserver bedient?

        Wie fang ich da jetzt am besten an herauszufinden, wer (also welche Applipationen und welche Domains) den Traffic verursacht?

        Mein erster Instinkt sagt: Schau in die Logfiles der jeweiligen Server. Und dann in die Logfiles von anderen Services, die von sich aus Daten hin- und herschieben. Vielleicht irgendein Remote-Backup oder so, wir haben ja keine Ahnung, was bei dir so alles läuft.

        Vermutlich kann man mit netstat auch einiges rauskriegen, allerdings kenne ich mich mit diesem Werkzeug praktisch gar nicht aus, daher also nur eine vage Idee.

        So long,
         Martin

        --
        F: Warum rühren manche Leute den Kaffee rechtsrum und manche linksrum?
        A: Damit sich der Zucker besser auflöst.
        1. Hallo Martin,

          Mein erster Instinkt sagt: Schau in die Logfiles der jeweiligen Server. Und dann in die Logfiles von anderen Services, die von sich aus Daten hin- und herschieben. Vielleicht irgendein Remote-Backup oder so, wir haben ja keine Ahnung, was bei dir so alles läuft.

          Es laufen:

          • Webswerver Apache
          • Mailserver Postfix
          • Datenbankserver MySL

          Und "Ingrid" flüsterte mir eben ein, mal als erstes iptraf zu installieren. Und siehe da: da läuft eine Menge IGMP + UDP auf Multicast-Adressen. Ich habe aber keinerlei Streaming-Dienste o. ä. eingerichtet.

          Das fühlt sich jetzt "gehackt" an. Normaler Traffic läuft fast gar nicht.
          Muss ich jetzt mal die Prozesstabelle durchforsten, wer denn da schluckt.

          Was würde denn passieren, wenn ich Multicast-Antworten mal per IP-Tables unterbinden würde, also am besten gleich alle ausgehenden Pakete ab 224.x.x.x
          Würde ich mich da selber aussperren?

          Grüße
          TS

          --
          es wachse der Freifunk
          http://freifunk-oberharz.de
          1. Hallo,

            wir haben ja keine Ahnung, was bei dir so alles läuft.

            Es laufen:

            • Webswerver Apache
            • Mailserver Postfix
            • Datenbankserver MySL

            naja, das sind mal die bekannten Server-Dienste. Aber meist gibt es ja noch eine Reihe weiterer Dienste, die eine Netzwerk-Kommunikation führen wollen - und wenn's was harmloses ist wie NTP. Natürlich verursacht ein NTP-Client keine auffälligen Traffic-Mengen, war nur ein willkürliches Beispiel, das mir zufällig gerade einfiel.

            Und "Ingrid" flüsterte mir eben ein, mal als erstes iptraf zu installieren. Und siehe da: da läuft eine Menge IGMP + UDP auf Multicast-Adressen. Ich habe aber keinerlei Streaming-Dienste o. ä. eingerichtet.

            Weird. Das würde mich auch unruhig machen.

            Muss ich jetzt mal die Prozesstabelle durchforsten, wer denn da schluckt.

            Schluckt? Ich denke, dein Sorgenkind ist Outbound Traffic, also Senden.
            Die Parallele zur Anatomie verkneif ich mir jetzt ... ;-)

            Was würde denn passieren, wenn ich Multicast-Antworten mal per IP-Tables unterbinden würde, also am besten gleich alle ausgehenden Pakete ab 224.x.x.x
            Würde ich mich da selber aussperren?

            Keine Ahnung. Aber ich bin sehr gespannt, was bei der Sache rauskommt.

            Viel Erfolg,
             Martin

            --
            Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
            - Douglas Adams, The Hitchhiker's Guide To The Galaxy
            1. Hallo Martin,

              Es laufen:

              • Webswerver Apache
              • Mailserver Postfix
              • Datenbankserver MySL
              • ntp
              • sshd

              Ok, die sind auch noch aktiv...

              Was würde denn passieren, wenn ich Multicast-Antworten mal per IP-Tables unterbinden würde, also am besten gleich alle ausgehenden Pakete ab 224.x.x.x
              Würde ich mich da selber aussperren?

              Keine Ahnung. Aber ich bin sehr gespannt, was bei der Sache rauskommt.

              Ich auch!

              Habe ich eben versucht mittels

              iptables -A OUTPUT -d 224.0.0.0/3 -j DROP
              

              Aber das ändert erstmal nix. Iptraf zeigt immer noch den ausgehenden Traffic an. Verglichen mit meinem Linux-Lappi, auf dem ich gerade selber einen Video-Stream gucke: da läuft fast nix, nur gelegentlich das Nachladen eines UDP-Paketes.

              Grüße
              TS

              --
              es wachse der Freifunk
              http://freifunk-oberharz.de
              1. Hallo Martin,

                Es laufen:

                • Webswerver Apache
                • Mailserver Postfix
                • Datenbankserver MySL
                • ntp
                • sshd

                Ok, die sind auch noch aktiv...

                nmap behauptet:

                Starting Nmap 6.47 ( http://nmap.org ) at 2016-08-22 16:21 CEST
                Nmap scan report for freifunk-oberharz.de 109.235.62.184
                Host is up (0.038s latency).
                rDNS record for 109.235.62.184: bitworks-4309-1.vautronserver.de
                Not shown: 986 closed ports
                PORT      STATE    SERVICE
                22/tcp    open     ssh
                80/tcp    open     http
                110/tcp   open     pop3
                135/tcp   filtered msrpc
                139/tcp   filtered netbios-ssn
                143/tcp   open     imap
                443/tcp   open     https
                445/tcp   filtered microsoft-ds
                465/tcp   open     smtps
                587/tcp   open     submission
                993/tcp   open     imaps
                995/tcp   open     pop3s
                3306/tcp  open     mysql
                49152/tcp filtered unknown
                
                Nmap done: 1 IP address (1 host up) scanned in 4.06 seconds
                
                1. Hallo,

                  Es laufen:

                  • Webswerver Apache
                  • Mailserver Postfix
                  • Datenbankserver MySL
                  • ntp
                  • sshd

                  Ok, die sind auch noch aktiv...

                  nmap behauptet:

                  Starting Nmap 6.47 ( http://nmap.org ) at 2016-08-22 16:21 CEST
                  Nmap scan report for freifunk-oberharz.de 109.235.62.184
                  Host is up (0.038s latency).
                  rDNS record for 109.235.62.184: bitworks-4309-1.vautronserver.de
                  Not shown: 986 closed ports
                  PORT      STATE    SERVICE
                  
                  • 22/tcp open ssh
                  • 80/tcp open http
                  • 110/tcp open pop3 ## den könnte ich noch schließen...
                  • 135/tcp filtered msrpc
                  • 139/tcp filtered netbios-ssn
                  • 143/tcp open imap
                  • 443/tcp open https
                  • 445/tcp filtered microsoft-ds
                  • 465/tcp open smtps
                  • 587/tcp open submission
                  • 993/tcp open imaps
                  • 995/tcp open pop3s
                  • 3306/tcp open mysql
                  • 49152/tcp filtered unknown

                  Nmap done: 1 IP address (1 host up) scanned in 4.06 seconds

                  Die mit (filtered) gekennzeichneten werden von nmap (von außen) angezeigt, weil es da keine Antwort bekommt. Da läuft nix, was dazu passen könnte und was ich sehen könnte, Linux-Viren also ausgenommen.

                  Und welche von den anderen Ports hättest Du in Verdacht für IGMP- und UDP-Traffic an Multicast-Adressen?

                  Grüße
                  TS

                  --
                  es wachse der Freifunk
                  http://freifunk-oberharz.de
                  1. Hi,

                    PORT STATE SERVICE

                    • 22/tcp open ssh
                    • 80/tcp open http
                    • 110/tcp open pop3 ## den könnte ich noch schließen...
                    • 135/tcp filtered msrpc
                    • 139/tcp filtered netbios-ssn
                    • 143/tcp open imap
                    • 443/tcp open https
                    • 445/tcp filtered microsoft-ds
                    • 465/tcp open smtps
                    • 587/tcp open submission
                    • 993/tcp open imaps
                    • 995/tcp open pop3s
                    • 3306/tcp open mysql
                    • 49152/tcp filtered unknown

                    mich überraschen hier mehrere Dinge. Zum Beispiel, dass Microsoft-imitierende Dienste (RPC an 135, Samba an 139, Microsoft Directory Services an 445) zumindest auch von draußen ansprechbar sind, auch wenn sie vielleicht nicht antworten. Und auch, dass der SQL-Server von außen erreichbar ist. Ist das Absicht? Und Port 49152 verunsichert mich auch ein bisschen; meine Schnell-Recherche lässt mich vermuten, dass der was mit UPNP zu tun haben könnte.

                    Die mit (filtered) gekennzeichneten werden von nmap (von außen) angezeigt, weil es da keine Antwort bekommt. Da läuft nix, was dazu passen könnte und was ich sehen könnte, Linux-Viren also ausgenommen.

                    Doch, da läuft was, "jemand" lauscht da zumindest. Sonst wäre der Port nicht offen, d.h. ansprechbar.

                    Und welche von den anderen Ports hättest Du in Verdacht für IGMP- und UDP-Traffic an Multicast-Adressen?

                    Wie gesagt, 49152 stößt mir irgendwie sauer auf, weil ich da keine eindeutige, klare Auskunft finde.

                    So long,
                     Martin

                    --
                    Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
                    - Douglas Adams, The Hitchhiker's Guide To The Galaxy
                    1. Hallo Martin,

                      PORT STATE SERVICE

                      • 22/tcp open ssh
                      • 80/tcp open http
                      • 110/tcp open pop3 ## den könnte ich noch schließen...
                      • 135/tcp filtered msrpc
                      • 139/tcp filtered netbios-ssn
                      • 143/tcp open imap
                      • 443/tcp open https
                      • 445/tcp filtered microsoft-ds
                      • 465/tcp open smtps
                      • 587/tcp open submission
                      • 993/tcp open imaps
                      • 995/tcp open pop3s
                      • 3306/tcp open mysql
                      • 49152/tcp filtered unknown

                      mich überraschen hier mehrere Dinge. Zum Beispiel, dass Microsoft-imitierende Dienste (RPC an 135, Samba an 139, Microsoft Directory Services an 445) zumindest auch von draußen ansprechbar sind, auch wenn sie vielleicht nicht antworten. Und auch, dass der SQL-Server von außen erreichbar ist. Ist das Absicht? Und Port 49152 verunsichert mich auch ein bisschen; meine Schnell-Recherche lässt mich vermuten, dass der was mit UPNP zu tun haben könnte.

                      Das ist auch neu. die "filtered" hatte ich vor ca. 2 Monaten noch nicht in meiner Liste. MySQL ist von außen per SSL erreichbar. Das ist Absicht. Es wird auch ca. 180x pro Woche versucht, darauf unberechtigt (6 Fehlversuche) zuzugreifen.

                      Die mit (filtered) gekennzeichneten werden von nmap (von außen) angezeigt, weil es da keine Antwort bekommt. Da läuft nix, was dazu passen könnte und was ich sehen könnte, Linux-Viren also ausgenommen.

                      Doch, da läuft was, "jemand" lauscht da zumindest. Sonst wäre der Port nicht offen, d.h. ansprechbar.

                      Und welche von den anderen Ports hättest Du in Verdacht für IGMP- und UDP-Traffic an Multicast-Adressen?

                      Wie gesagt, 49152 stößt mir irgendwie sauer auf, weil ich da keine eindeutige, klare Auskunft finde.

                      Der stößt mir allerdings auch auf. Das ist normalerweise Windows DCOM. Was das nun auf einem Linux-Host zu suchen hat, ist mir auch noch nicht klar.

                      Ich habe jetzt mal den Service meines Dienstleisters befragt. Mal schauen, was die antworten.

                      Da der Host ohnehin in ein paar Tagen auf eine neue Maschine umziehen soll, wäre es sicherlich gut, den Schmuddelkram nicht mitzunehmen. Das muss auf jeden Fall vorher noch geklärt werden.

                      Grüße
                      TS

                      --
                      es wachse der Freifunk
                      http://freifunk-oberharz.de
                      1. Ich habe jetzt mal den Service meines Dienstleisters befragt. Mal schauen, was die antworten.

                        Haben die schon nach einem Passwort gefragt um für Dich ~> sudo lsof | less auszuführen?

                        1. Hallo und guten Morgen,

                          Ich habe jetzt mal den Service meines Dienstleisters befragt. Mal schauen, was die antworten.

                          Haben die schon nach einem Passwort gefragt um für Dich ~> sudo lsof | less auszuführen?

                          Wir haben allen möglichen Quatsch ausprobiert. Es ist da nix zu finden, was eine Erklärung liefern könnte.

                          Ich stelle mir jetzt vor, dass da VLAN im Einsatz ist und der Traffic zu Routing gehört. Aber ein VLAN-Treiber für die Schnittstelle ist auch nicht zu entdecken...

                          Alles äußerst suspekt.

                          Grüße
                          TS

                          --
                          es wachse der Freifunk
                          http://freifunk-oberharz.de
                          1. Hi,

                            Wir haben allen möglichen Quatsch ausprobiert. Es ist da nix zu finden, was eine Erklärung liefern könnte.

                            das kann doch nicht wahr sein ...

                            Ich stelle mir jetzt vor, dass da VLAN im Einsatz ist und der Traffic zu Routing gehört.

                            Wo liegt der Zusammenhang zwischen WLAN und Routing? Oder anders gefragt, inwiefern unterscheidet sich WLAN von verkabeltem LAN? Klar, durch die Realisierung der eigentlichen Übertragung. Aber doch nicht aus der Sicht der Anwendung(en).

                            Aber ein VLAN-Treiber für die Schnittstelle ist auch nicht zu entdecken...

                            In der Auflistung, die du im OP zeigst, ist auch keine WLAN-Schnittstelle erwähnt.

                            Alles äußerst suspekt.

                            Ist denn das relativ hohe Transfervolumen noch da?

                            Schönes Wochenende,
                             Martin

                            --
                            Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
                            - Douglas Adams, The Hitchhiker's Guide To The Galaxy
                            1. In der Auflistung, die du im OP zeigst, ist auch keine WLAN-Schnittstelle erwähnt.

                              Was hat VLAN mit WLAN zutun?

                              1. Hallo,

                                In der Auflistung, die du im OP zeigst, ist auch keine WLAN-Schnittstelle erwähnt.

                                Was hat VLAN mit WLAN zutun?

                                weiß ich nicht - vielleicht dass ein V und ein W sich sehr ähnlich sehen?
                                Ver lesen kann, ist im Worteil. Var schon immer so. :-(

                                So long,
                                 Martin

                                --
                                Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
                                - Douglas Adams, The Hitchhiker's Guide To The Galaxy
                                1. Hallo und guten Tag,

                                  In der Auflistung, die du im OP zeigst, ist auch keine WLAN-Schnittstelle erwähnt.

                                  Was hat VLAN mit WLAN zutun?

                                  weiß ich nicht - vielleicht dass ein V und ein W sich sehr ähnlich sehen?
                                  Ver lesen kann, ist im Worteil. Var schon immer so. :-(

                                  Darum sind die Buchstaben ja auch wariabel :-P

                                  Grüße
                                  TS

                                  --
                                  es wachse der Freifunk
                                  http://freifunk-oberharz.de
          2. Hallo,

            Und "Ingrid" flüsterte mir eben ein,

            Das war nicht Ingrid, sondert Edith!

            Gruß
            Kalk

  2. Ich würde mal iftop und iptraf-ng aufrufen.

    Hatte ein paar Tage auf einen ruhenden Server zwischen 100 und 300 GB eingenhenden Traffic. Iptraf hat mir dann die Verursacher angezeigt, war Broadcast Traffic aus dem Netzwerk des Rechenzentrums.

    1. Hallo und guten Morgen Kay,

      Ich würde mal iftop und iptraf-ng aufrufen.

      Hatte ein paar Tage auf einen ruhenden Server zwischen 100 und 300 GB eingenhenden Traffic. Iptraf hat mir dann die Verursacher angezeigt, war Broadcast Traffic aus dem Netzwerk des Rechenzentrums.

      Ja, das könnte es hier auch sein.
      Der Service hat mir geantwortet, dass das normal wäre und mein Gesamt-Traffik erst bei 5,4GB im Monat liegen würde...

      Somit kann ich aber nun über die eigene Schnittstelle keinen Traffic mehr feststellen, da die den ganzen Router-Verwaltungs-Traffic ja mitzählt. An die Prozesse komme ich auch nicht ran, obwohl es ein Root-Server ist.

      Na, dann wird es wohl die NSA-Abzweigung sein :-O

      Grüße
      TS

      --
      es wachse der Freifunk
      http://freifunk-oberharz.de