Приветствую! Столкнулся с такой проблемой, работает виртуальный сервер уже 2 года с несколькими лендинг сайтами. Все это время с статистикой трафика было все хорошо, в основном было 200Мб/входящего 600Мб/исходящего, а вот с недавнего времени в точности с 15 ноя, стало 60Гб/входящего и 2Гб/исходящего, и до сих пор у меня каждый день рисуется 2-3Гб/входящего и 0.9-1Гб/исходящего, однако прошу заметить по хорошему на таких серверах наоборот.
Что сделал, проверил логи апача, ничего подозрительного нет, посещаемость лендингов не увеличивалась. Почитал логи системы journald, также подозрительного ничего не увидел. Проверил фаер, разрешены только входящие 80,443, и сдвинутый SSH. Также проверил на уязвимости.
Уже 10 дней бьюся и понять почему входящего стало больше чем исходящего не могу.
В процессе поиска куда уходит трафик через tcpdump и iftop обнаружил странную фигню которую не могу понять. Очень хочу чтобы мне пояснили в чем дело. Вот смотрите, как так получается, что tcpdump и iftop показывает пакеты с заголовками «адрес источника» и «адрес получателя» которые вообще никак не совпадают с адресом моего сервера, но находятся в одной подсети, т.е. допустим адрес моего сервера 140.140.140.140, а tcpdump как-то ловит пакет на моем интерфейсе с таким содержанием:
IP 140.140.37.61.60006 > 170.170.170.170.27017: Flags [P.], seq 114316:114559, ack 62785, win 924, options [nop,nop,TS val 1020791258 ecr 3829276737], length 243Потом iftop показывает тоже какой-то подсос с соседних адресов, а вот conntrack и ss подключений не видят.
Пока прихожу к выводу, что по какой-то причине моя виртуальная машина стала пробрасывать трафик на другие сервера, но что странно правил таких я не задавал.
Прошу выскажите свои мысли по этому поводу, готов предоставить любую информацию касающейся этой ситуации.
ОСь Debian 10 на KVM
