raba34

Extrem hoher Traffic

Hallo ihr alle,

ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.

Also ist der Datenverkehr nicht durch die Websites veranlasst.

Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?

Vielen Dank!

Ralph
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673122

Url: https://administrator.de/forum/strato-server-traffic-datenuebertragung-673122.html

Ausgedruckt am: 02.06.2025 um 03:06 Uhr

BiberMan
BiberMan 31.05.2025 aktualisiert um 18:17:56 Uhr
Goto Top
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
  • sudo iftop -i <interface>
  • netstat -tup
  • sudo tcpdump -ni <interface>
...


p.s. Freitag war eigentlich gestern face-wink
LordGurke
LordGurke 31.05.2025 um 17:21:36 Uhr
Goto Top
tcpdump besser parametrieren mit:
tcpdump -i any -nn "not port 22"  

Sonst sieht man vor lauter SSH- und DNS-Traffic nicht, was wirklich los ist.
Globetrotter
Globetrotter 31.05.2025 um 21:20:32 Uhr
Goto Top
Zitat von @raba34:


ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.

Hi..
Ich gehe davon aus, daß Du den Server als VPS betreibst. Hier wäre villeicht sinnvoll eine OPNSense o.ä. davor zu schalten. Dort siehst Du dann in den Berichten was wohin geht. Ich könnte mir vorstellen, daß einer/mehrere Deiner Domains (Webseiten) eine "Lücke/Lücken" hat und dadurch Daten abgezogen werden.. Die "Crawler" von extern können da schon extremen Traffic verursachen.
Schau da mal nach - viel Erfolg!

Gruss Globe!
nEmEsIs
nEmEsIs 31.05.2025 um 22:37:07 Uhr
Goto Top
Hi

Machst du vll Backups von deine Webseiten auf einen Cloudspeicher oder ähnlich ?

Was verstehst du unter Extremen Traffic
GB? TB ?

FTP Zugriffe, WebDev im Einsatz ?

Große SQL Datenbank die vll abgezogen wurde ?

Mit freundlichen Grüßen
Nemesis
Vision2015
Vision2015 01.06.2025 um 07:43:13 Uhr
Goto Top
Moin...

also wenn dein Server "Extrem hoher Traffic" hat, würde ich das Ding mal vom Netz nehmen!

Also ist der Datenverkehr nicht durch die Websites veranlasst.
wie kommst du zu deiner Annahme?
natürlich kann das CMS etc... Lücken haben... weiter oben wurde dir ja schon beschrieben, wie das zu machen ist!
du solltest auch Kontakt mit deinem Hoster aufnehmen!

Frank
Crusher79
Crusher79 01.06.2025 um 12:55:03 Uhr
Goto Top
CMS, FTP...

Bist du Kunde und nutzt es alleine oder deine Kunden?

Vom Netz nehmen oder bestimmte Kunden deaktivieren. Hätte als Schnellschuss was liefern müssen.

Plesk verwaltet nur Dienste. Kann alles mögliche sein. Mit Ajaxplorer kann man auch Server zu Server übertragen.

Es müssen also nicht mal viele was runterladen. Auch ein einziger kann es damit nach oben treiben.

Natürlich wäre es dann fast Dauerschleife, wenn du nicht gerade hunderte von TB verwaltest.

Aber da fehlen Infos! Bist du reseller und hast Kunden. Oder gehört alles dir und du nutzt das Tool zum Verwalten von deinen eigenen Dingen.

So könnte man auch mutmaßen, dass ein neuer Kunde macht was er will....

Do bleibt aber nur raten!

Beim Server kann man aber an traffic und IPs auch ohne Firewall kommen.

Für ein Gesamtkonzept wäre eine Firewall natürlich von Vorteil.

So raten wir hier nur.

Es gibt aber Techniken wie Ajaxplorer die auf Servern mit hoher Bandbreite auch allein verantwortlich sein könnten. Was es aber auch einfacher macht es abzustellen....

Fällt einen vieles ein. So oder so wäre eine ungeplante Wartung oder Not aus Mittel der Wahl
raba34
raba34 01.06.2025 um 21:42:31 Uhr
Goto Top
Vielen Dank für eure rege Unterstützung.

Ich schaue mir gerade mit iftop den Datenverkehr an. Es gibt auffällig viele Verbindungen zu Adressen der Form "hydrogenXXX-ext2.ahrefs.net", wobei XXX für unterschiedliche Ziffern stehen. Ist hierüber etwas bekannt?

Meine weitere Strategie wird sein, besonders auffällige Hosts zur Firewall hinzuzufügen.

Es werden mit iftop auch lokale Ports angezeigt, die nicht geöffnet sind. Heißt das, dass Versuche auf diesem Port laufen?

Gruß
Ralph
Crusher79
Crusher79 01.06.2025 um 21:58:02 Uhr
Goto Top
SEO...

https://ahrefs.com/de

Ist der traffic denn überhaupt noch hoch?
raba34
raba34 01.06.2025 um 23:09:07 Uhr
Goto Top
Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.

Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
Vision2015
Vision2015 02.06.2025 um 05:55:15 Uhr
Goto Top
Moin...
Zitat von @raba34:

Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
ok...

Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
das finde ich etwas Naiv, du solltest deinen Server besser mal untersuchen, was da los war,
war das eingehnder oder ausgehender Trafic?
ich vermute, du hast du da was eingefangen...

Frank