问带有Ligthttpd的CentOS 5.0无原因地注意到高流量

EN

看起来这些图表并不是按端口来分解流量的，所以一个嗅探器会有帮助。在这一点上，如果您认为是web流量，那么假设lighttpd的日志是配置好的：

/var/log/ttpd.log

您可以检查哪些URL被访问最多，哪些文件下载最多。为了使事情更容易进行，尝试使用Webalizer解析日志：

http://www.cyberciti.biz/tips/lighttpd-install-and-configure-webalizer-statistics-software.html

( A)如果您有Cisco交换机，您可以设置它，以便将通信量镜像到特定端口，然后以混杂模式将另一台计算机连接到该端口集，以便使用类似Wireshark的方式监视IP通信。

( B)您可以在服务器上运行Wireshark (或您最喜欢的嗅探器)来实时监视流量。

C)用Linux设置另一台机器来转发流量，并将服务器设置为使用该机器作为网关。看看是否可以使用端口嗅探器监视流量。

我建议第三方机器(如选项A或C)这样做，因为如果有通过恶意软件进行此操作的东西，它可能会使用安装了木马的二进制文件来掩饰系统上的活动。不管什么情况，外部监控器都会看到流量。