ethereal抓到的数据，请帮忙看看

Antigue

一台在校内发布了http、ftp和mail服务的dell 2850服务器，网络流量异常的大，收/发 1000/500个数据包每秒，网站访问速度慢，但是系统资源占用正常，这种状况持续了数月。一度停掉所有服务流量仍几乎没有变化，netstat命令显示80端口每秒约有2300个连接，基本上都是established、close_wait和少量time_wait，3306端口不到100个连接。抓包5秒，发现有1-2个ip地址的次数都是1000左右，截取一部分信息如下：

No.     Time        Source                Destination           Protocol Info
15 0.013868    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=0 Win=65535 Len=0
16 0.015323    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=1460 Win=65535 Len=0
49 0.037934    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=4380 Win=65535 Len=0
52 0.039150    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0
68 0.051315    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=8760 Win=65535 Len=0
71 0.053016    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=10220 Win=65535 Len=0
133 0.094599    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=13140 Win=65535 Len=0
138 0.097760    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=14600 Win=65535 Len=0
147 0.099769    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=17520 Win=65535 Len=0
150 0.100192    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=18980 Win=65535 Len=0
283 0.161485    221.224.13.79         218.62.16.40          TCP      2164 > http [ACK] Seq=0 Ack=0 Win=65535 Len=0
319 0.178756    221.224.13.79         218.62.16.40          TCP      2164 > http [ACK] Seq=0 Ack=1460 Win=65535 Len=0
326 0.183127    221.224.13.79         218.62.16.40          TCP      2164 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0
339 0.200145    221.224.13.79         218.62.16.40          TCP      2164 > http [ACK] Seq=0 Ack=8760 Win=65535 Len=0
344 0.201847    221.224.13.79         218.62.16.40          TCP      2164 > http [ACK] Seq=0 Ack=10220 Win=65535 Len=0
380 0.247811    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=21900 Win=65535 Len=0
385 0.249027    221.224.13.79         218.62.16.40          TCP      4195 > http [ACK] Seq=0 Ack=23360 Win=65535 Len=0
    ………………………………………………
1600 0.985179    221.224.13.79         218.62.16.40          TCP      4179 > http [ACK] Seq=0 Ack=0 Win=65535 Len=0 SLE=7300 SRE=29200 SLE=1460 SRE=5840
1603 0.986638    221.224.13.79         218.62.16.40          TCP      4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=29200
1692 1.047194    221.224.13.79         218.62.16.40          TCP      [TCP Dup ACK 1603#1] 4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=30660
1707 1.062516    221.224.13.79         218.62.16.40          TCP      [TCP Dup ACK 1603#2] 4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=32120
1714 1.064461    221.224.13.79         218.62.16.40          TCP      [TCP Dup ACK 1603#3] 4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=33580
1719 1.065191    221.224.13.79         218.62.16.40          TCP      [TCP Dup ACK 1603#4] 4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=35040
1742 1.080540    221.224.13.79         218.62.16.40          TCP      [TCP Dup ACK 1603#5] 4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=36500
1744 1.081489    221.224.13.79         218.62.16.40          TCP      [TCP Dup ACK 1603#6] 4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=37960
1768 1.105319    221.224.13.79         218.62.16.40          TCP      [TCP Dup ACK 1603#7] 4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=40880
1770 1.107506    221.224.13.79         218.62.16.40          TCP      [TCP Dup ACK 1603#8] 4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=42340
1772 1.108238    221.224.13.79         218.62.16.40          TCP      [TCP Dup ACK 1603#9] 4179 > http [ACK] Seq=0 Ack=5840 Win=65535 Len=0 SLE=7300 SRE=43800

数据有7mb，pcap格式，下载地址是 http://www.dsjyw.net/tmp/070124.rar
本人只是业余做做网站，对网络安全和底层的东西都很不了解，ethereal还刚刚开始用，真是不好意思麻烦这里的各位高手，但是情况已经越来越紧迫，请高手多少指点一二，教我应该从哪个方面着手解决，拜~ m(_ _)m

[ 本帖最后由 Antigue 于 2007-1-24 20:15 编辑 ]

showrun

从cap文件记录的信息看,218.62.16.40那台服务器上好像有rmvb格式的视频,而且从cap文件中看，有很多地址好像通过该服务器的http服务要么下载，要么在线观看的数据占了大多数。先从这个方面查吧。


有人攻击的可能性不大。

Antigue

问题是80端口的请求数远大于数据库请求数量，是正常的吗？或者就是，直接http下载了……从访问日志来看，有电影的那个虚拟主机的确流量很大，不知道可否提供一些禁止http下载的方法？
怀疑线路也有问题，因为在校内访问都非常慢，或者DNS配置不当。非常棘手，在下再重新设置一下系统看看吧。楼上的大哥辛苦了~ orz

showrun

80端口流量正常应该是多少，网管应该最清楚。但是奇怪的是你们这台服务器为什么还要向外提供sql服务？
禁止http的方法有很多如防火墙，但是我不太清楚的是与其禁止还不如干脆就不提供
另外既然知道提供电影下载的虚拟主机流量大，就应该先将它禁掉。然后看是否恢复正常，问题很容易定位。

Antigue

网站访问显著变慢，刚好是从年初光缆事件开始的，一开始以为是网络本身的问题。不久发现有一个网站访问日志膨胀得极快，试过在IIS中停止站点，不知道为什么停了站点甚至IIS服务，也没有作用，因此怀疑有人攻击了。

经过showrun高人一指点，问题变得清楚了。暂时改变了电影文件的路径（以前怎么没想到这一手），现在http连接数已经下降到了140。很明显应该就是盗链和多线程下载引起的流量剧增，消耗了带宽。
网站是学校部门的网站，提供的电影只有10来个，都是很老的电影了，搞不懂为什么这么多人下载。网站肯定是不能停了，电影估计还是得提供的，目前的打算是趁放假试试防盗链之类的插件。

还有一个小小疑问：3306的连接，是因为网页脚本访问了数据库。我这里正常来看，mysql的连接数一般是大于http连接数的，但是从您的意见我推测，3306不应对外开放，有没有什么技术能做到这一点，同时不影响网页脚本访问数据库，有没有必要这么做？有空请赐教。

ps: 服务器是IIS6+PHP+MySQL

[ 本帖最后由 Antigue 于 2007-1-27 17:35 编辑 ]

kirkcolors

我来说两句..
电影虚拟主机的流量大很可能跟无处不在的迅雷之类的p2p软件有关系
php防止盗连的方法有很多 电影因为体积太大可能无法用header直接输出 可以尝试用程序定期改变文件名之类的方法
具体的可以google到许多
至于mysql的3306 如果你的http服务和mysql服务在一台机器上 那你没有需要打开3306 httpd会直接走pipe

麦哥哥

原帖由 showrun 于 2007-1-25 10:14 发表
从cap文件记录的信息看,218.62.16.40那台服务器上好像有rmvb格式的视频,而且从cap文件中看，有很多地址好像通过该服务器的http服务要么下载，要么在线观看的数据占了大多数。先从这个方面查吧。


有人攻击的 ...

请问showrun,你怎么从cap文件记录的信息看出服务器上好像有rmvb格式的视频？？？？

~wind~

停掉服务还那么多连接,要么被攻击,要么是BT.