原地址https://help.aliyun.com/knowledge_detail/41330.html 云服務器 ECS Linux 服務器帶寬異常跑滿分析解決 云服務器 ECS Linux 服務器帶寬跑滿，影響正常業務提供服務。 問題原因 可能是惡意程序問題，或者是部分 IP 惡意訪問導致，亦可能是服務遭到了CC攻擊 處理辦法 使用 iftop 工具排查 使用 nethogs 進行排查 首先需要確定是哪一張網卡的帶寬跑滿，可以通過sar -n DEV 1 5 命令來獲取網卡級別的流量圖，命令中 1 5 表示每一秒鐘取 1 次值，一共取 5 次。 命令執行后會列出每個網卡這 5 次取值的平均數據，根據實際情況來確定帶寬跑滿的網卡名稱，默認情況下 eth0 為內網網卡，eth1 為外網網卡。 使用 iftop 工具排查 1、服務器內部安裝 iftop 流量監控工具： yum install iftop -y 3.JPG 2、.服務器外網帶寬被占滿時，如果通過遠程無法登陸，可通過阿里云終端管理進入到服務器內部，運行下面命令查看流量占用情況： iftop -i eth1 -P 注：-P 參數會將請求服務的端口顯示出來，也就是說是通過服務器哪個端口建立的連接，看內網流量執行 iftop -i eth0 -P 命令。 1.jpg 如上面示例圖，通過分析發現最耗流量的是服務器上 53139 端口和 115.205.150.235 地址建立的連接，產生了大量入網流量。執行 netstat 命令反查 53139 端口對應進程。 netstat -tunlp |grep 53139 2.jpg 3、最終定位出來是服務器上 vsftpd 服務產生大量流量，這時可以通過停止服務或使用iptables服務來對指定地址進行處理，如屏蔽 IP 地址，限速，以保證服務器帶寬能夠正常使用。 使用 nethogs 進行排查 1、服務器內部安裝 nethogs 流量監控工具： yum install nethogs -y 2、通過 nethogs 工具來查看某一網卡上進程級流量信息，若未安裝可以通過 yum、apt-get 等方式安裝。 假定當前 eth1 網卡跑滿，則執行命令 nethogs eth1，在右邊的紅框中可以看到每個進程的網絡帶寬情況，左邊紅框顯示了進程對應的 PID，在此可以確定到底是什么進程占用了系統的帶寬。 3、如果確定是惡意程序，可以通過 kill -TERM <PID> 來終止程序。 如是 Web 服務程序，則可以使用 iftop 等工具來查詢具體 IP 來源，然后分析 Web 訪問日志是否為正常流量，日志分析也可以使用 logwatch 或 awstats 等工具進行分析，若確定是正常的流量，則可以考慮升級服務器的帶寬。