严重问题！一台Linux服务器，瞬间出口流量1Gb，无法定位程序

taoyantu

公司有一台服务器，会无规律性的，在1,2秒内，打开上万的SYN-SENT请求，导致出访带宽瞬间达到 1Gb的流量， 通过iftop命令查看结果如下，但是一直无法定位是哪个应用。

10.2.201.38                                               => 192.126.127.82                                              893Mb   766Mb   766Mb

每次故障，外网的ip都是不固定的。可能是美国，英国，没有任何规律
使用过 iftop,tcptrack,netstat，iptraf,等命令查看，但是，都只能查到当时打开对外80端口的本机端口，马上使用lsof -i:port 查看，均无法捕捉到进程。因为时间实在是太短了。就是1秒左右的时间。请各位有经验的朋友，帮忙看看能如何定位到进程？
谢谢各位！！

seanking1987

我想这种情况，不能等出现问题了再来用命令去看。
而要做个shell/程序，不停的去写信息(netstat/lsof等信息)到文件，等出问题后(只有1,2s)，再查看那个文件的信息,定位具体的问题。

rtm009

估计是被挂马了 找专业的过来看吧！要不就是一个个文件去对比 多出来的就是了！

taoyantu

回复 2# seanking1987


    这种方法不行。。首先用lsof -i：port 定位进程，就需要一定的时间，我使用curl进行了测试，根本抓不到进程。。实在是太快了。。

njnu

先梳理下自身进程，排除法，重点关注可疑项