1&1 meldet 30 GB Traffic am Tag. Wem soll ich glauben?

[ngrafe]

Hallo zusammen.
Seit ca. einer Woche meldet 1&1 viele GB Traffic (30, 40, 50 GB pro Tag und mehr) auf meinem Server (SuSE 10+Plesk,...) . Und ich weiß nicht, warum.
Die Logfiles sind natürlich nicht besonders aussagekräftig. Das ist mir klar. Aber bevor ich anfange, Sicherheitslücken zu suchen, hier das eigentliche Problem:

Mit "iptraf" habe ich den Verkehr auf eth0 mitschneiden lassen. Die Werte aus der Log-Datei habe ich dann hochgerechnet und komme zu ganz normalen Ergebnissen (noch nicht mal 5 % von dem, was 1&1 angibt), wie ich sie bisher auch hatte. Da ist rein gar nichts auffällig.

Ich habe die Firewall von 1&1 natürlich aktiviert und nur die nötigen Ports für einen Webserver durchgelassen.

Der Server ist soweit unauffällig. Wem kann ich nun mehr glauben schenken? 1&1 Traffic-Report oder meinem IPtraf?

Welche weiteren Maßnahmen soll ich zur Analyse treffen?

Viele Grüße
Nils

[Joe User]

Normalerweise stimmen die Angaben der Anbieter, daher wird Dir eine direkte Anfrage bei Deinem Anbieter, ob dessen Auswertung derzeit einen Bug hat, nicht erspart bleiben...

[ngrafe]

Danke für deine Antwort.
Hab ich schon gemacht. Aber die lassen sich Zeit mit der Antwort... Oder möchten das nicht zugeben...


Wie zuverlässig ist iptraf?
Gruß
Nils

[Joe User]

Wie zuverlässig ist iptraf?

Da der Traffik vor Deinem Server gemessen wird, sind Tools wie iptraf nicht zuverlässig genug, um ihnen vertrauen zu können.

[ngrafe]

Fällt dir so spontan eine weitere Maßnahme ein?
Ich meine, wenn ein Server 50 GB am Tag "fressen" würde, müsste man das doch irgendwie an der Performance merken, oder?

Viele Grüße
Nils

[Roger Wilco]

Ich meine, wenn ein Server 50 GB am Tag "fressen" würde, müsste man das doch irgendwie an der Performance merken, oder?

Kommt darauf an. chargen (19/tcp) ist bspw. recht resourcensparend. :D

[Joe User]

Auch die beliebten IRC-Bots, oder auch Gameserver vom Vorbesitzer, oder SSH-Zugriffe, oder etliche andere (nicht existierende) Dienste erzeugen durchaus hohen Traffik bei vergleichbar wenig Last.

[ngrafe]

Mmh, mag ich noch nicht ganz verstehen.
Davor hängt eine Firewall (von 1&1).
Alles was dadurch kommt, wird eigentlich auch von Iptraf protokolliert. Es wäre sehr unwahrscheinlich, dass IPtraf nur "ausgewählte Pakete" auf z.B. Port 25 protokolliert.

Ich warte mal auf die Antwort vom Support, ob da nicht einfach bloß ein Fehler vorliegt.

Laut deren Aussage soll es um eingehenden Traffic gehen. Komisch...

Viele Grüße
Nils

[daemotron]

Möglicherweise Hammering oder ein versuchter DoS auf einem Port, der an der 1&1-Firewall gar nicht offen ist und deshalb nie bei Deinem Server ankommt - aber am Port der FW, so dass der Traffic auf Deinem Account verbucht wird.

[ngrafe]

Ja, das wäre eine ganz logische Erklärung.

Hast du eine Ahnung, ob der Traffic vor oder hinter der Firewall von 1&1 gemessen wird?

Viele Grüße
Nils

[Joe User]

Vor der Firewall.

[chrisw]

Tut jetzt nicht unbedingt direkt was zur Sache, aber was die Provider da manchmal zählen ist recht nett.

Ich bin mit mehreren Servern bei Strato... wenn man den internen FTP-Backupspace nutzt kommt es ab und zu vor, dass der Traffic sprunghaft ansteigt. Die Trafficauswertung zeigt dann hohe Bandbreitennutzung an, genau zu dem Zeitpunkt wo das Backup-Script startet. Das hält exakt bis zum Ende an.

Laut Strato sollte der RZ-interne Traffic zum Backupsystem eigentlich nicht gezählt werden, aber offensichtlich kommt das ab und zu vor.

Aktuell habe ich einen Server nach zwei Jahren gekündigt, da ich ihn nicht mehr benötige. Diesen habe ich fein säuberlich mit shred geplättet, mit einem der Strato Images neu initialisiert und dann beide Netzwerkkarten abgeschaltet. Trotzdem wird mir Traffic angerechnet, durchschnittlich 250-400 MB am Tag.

Aber ich hab eh unlimited, also was solls ;)

[Joe User]

und dann beide Netzwerkkarten abgeschaltet. Trotzdem wird mir Traffic angerechnet, durchschnittlich 250-400 MB am Tag.)

Nochmal zum Mitmeisseln: Der Traffik wird auf dem Switch/Router vor dem Server abgerechnet, schliesslich entsteht auch bei deaktivierten Diensten oder NICs Traffik, den der Anbieter bezahlen muss.
Auch wenn Du zu Hause alle Stromkabel (Netzwerkkabel) kappst, verbrauchst Du Strom (Traffik) und bekommst Du eine Stromrechnung...

[oxygen]

Ich will dir keine Angst machen, aber mithilfe eines Rootkits wäre es ein leichtes Traffic an iptraf & Co. vorbei zu schmuggeln.

[chrisw]

und dann beide Netzwerkkarten abgeschaltet. Trotzdem wird mir Traffic angerechnet, durchschnittlich 250-400 MB am Tag.)

Nochmal zum Mitmeisseln: Der Traffik wird auf dem Switch/Router vor dem Server abgerechnet, schliesslich entsteht auch bei deaktivierten Diensten oder NICs Traffik, den der Anbieter bezahlen muss.
Auch wenn Du zu Hause alle Stromkabel (Netzwerkkabel) kappst, verbrauchst Du Strom (Traffik) und bekommst Du eine Stromrechnung...

Das ist mir schon klar, ich wollte eigentlich nur eine Beschreibung abgeben, dass es trotzdem Traffic gibt - hätte ich vielleicht erwähnen sollen ;) Ebenso habe ich das neuinstallieren erwähnt, weil so kein rootkit oder sowas mehr drauf sein kann...

[ngrafe]

Jetzt hab ich es noch mal von 1&1 ausdrücklich bestätigt bekommen, was ihr schon gesagt habt. Traffic wird vor der Firewall gemessen. Also auch, wenn der Server nicht aktiv ist.

Ich denke, dann ist das bloß irgendjemand, der versucht, durch die Firewall zu kommen.

Herzlichen Dank für eure vielen hilfreichen Beiträge!

Viele Grüße
Nils