告警响了,别慌先看来源
半夜三点,手机突然疯狂震动,监控平台弹出一条“网络流量突增”告警。这种情况不少运维都遇到过。第一反应不是立刻重启设备,也不是打电话叫人,而是冷静判断:到底是真实攻击、内部异常,还是误报?
先登录流量分析系统,比如用的是 Zabbix、PRTG 或者 Prometheus + Grafana,查看具体是哪个接口、哪台设备流量飙升。重点关注出入方向的带宽使用率,特别是上行链路,很多问题都藏在这里。
查内网有没有“发疯”的主机
有时候流量突增不是来自外部,而是内网某台机器中了挖矿病毒或者被当成跳板在跑代理。打开交换机的端口流量统计,用命令行看看:
show interface | include input|output找出异常端口后,反查 MAC 地址绑定的 IP。再结合 DHCP 日志或 ARP 表定位到具体设备。曾经有次发现是一台测试服务器被人偷偷装了 BT 下载工具,整整跑了三天,把公司出口带宽占了一半。
外联IP突增?可能是DDoS前兆
如果看到大量连接指向境外IP,尤其是短连接高频发送,大概率是主机失陷正在参与C&C通信。这时候要迅速抓包分析,可以用 tcpdump 先采集几秒:
tcpdump -i eth0 -c 1000 -w /tmp/traffic.pcap host 45.34.21.88然后拿回本地用 Wireshark 看协议分布。如果全是 UDP 小包,目标端口随机,那基本可以判定是反射放大攻击的一部分。立即封掉该IP,并通知安全团队介入排查。
别忘了检查日志和策略配置
有一次告警来得莫名其妙,查了一圈没发现异常主机,最后发现是防火墙日志开启了“详细模式”,所有拒绝动作都记录并发送到日志服务器,结果日志流量暴涨十倍。改回正常级别后流量立马恢复正常。
还有种情况是 CDN 配置错误,缓存失效导致所有请求直击源站。这时候访问日志里会看到 User-Agent 正常但请求路径集中,比如突然大量访问 /static/js/app.js。联系CDN厂商刷新规则,问题迎刃而解。
建立阈值要合理,避免自己吓自己
有些同事图省事,把流量告警阈值设成固定值,比如超过50Mbps就报警。可实际业务晚上八点直播活动期间本来就会冲到80Mbps。这种“假阳性”多了,大家对告警就麻木了。
建议按时间段设置动态基线,比如用 PromQL 写个简单的滑动平均:
avg_over_time(node_network_receive_bytes_total[1h]) > bool 6MB再结合同比增幅,比如当前速率比过去三天同一时段高出200%,才触发提醒,这样更贴近真实场景。
处理流量突增,核心就是快准稳。快在响应速度,准在定位源头,稳在处置不扩大影响。平时多做演练,真出事时才能不手忙脚乱。