Troubleshoot bandwidth jaringan tinggi pada instans Linux -

Gejala

Masalah akses layanan: Waktu respons layanan meningkat secara signifikan, menyebabkan timeout permintaan atau ketidaktersediaan layanan.
Metrik pemantauan tinggi: Di Konsol ECS atau CloudMonitor, penggunaan bandwidth Internet arah keluar instans Anda secara konsisten melebihi 80% dan mendekati atau mencapai batas bandwidth. Anda juga mungkin melihat lonjakan jumlah koneksi jaringan.
Peringatan pemantauan: Anda menerima pesan SMS atau email yang memberi tahu bahwa penggunaan bandwidth jaringan telah melebihi ambang batas peringatan yang dikonfigurasi.

Penyebab

Proses tidak normal atau program berbahaya: Instans terinfeksi program penambangan cryptocurrency atau Trojan, atau bertindak sebagai bot dalam serangan DDoS. Program berbahaya ini menghasilkan sejumlah besar traffic jaringan abnormal.
Serangan jaringan: Port publik instans menjadi sasaran upaya akses berbahaya, seperti serangan CC pada lapisan aplikasi, serangan DDoS, atau serangan brute-force. Serangan ini dapat memenuhi bandwidth inbound dengan permintaan tidak valid.
Kapasitas jaringan instans tidak mencukupi: Seiring pertumbuhan bisnis Anda, bandwidth yang dikonfigurasi pada instans tidak lagi mampu menangani traffic layanan normal, sehingga terjadi bottleneck performa jaringan.

Solusi

Pertama, gunakan tool sar untuk mengidentifikasi antarmuka jaringan dengan traffic abnormal. Kemudian, analisis traffic NIC menggunakan tool iftop untuk mengidentifikasi alamat IP peer yang mengonsumsi bandwidth, atau gunakan tool nethogs untuk mengidentifikasi proses dengan traffic tinggi. Terakhir, lakukan tindakan yang sesuai berdasarkan sifat proses dan alamat IP tersebut.

Langkah 1: Identifikasi NIC dengan traffic tinggi

Gunakan tool sar untuk mengidentifikasi NIC dengan traffic tinggi dan tentukan target troubleshooting.

Login ke instans ECS menggunakan koneksi VNC.
1. Buka ECS console - Instances. Di pojok kiri atas, pilih wilayah dan kelompok sumber daya untuk instans target.
2. Buka halaman detail instans target. Klik Connect dan pilih VNC. Masukkan kredensial Anda untuk login ke instans ECS.

Kumpulkan statistik antarmuka jaringan.

# -n DEV: Menampilkan statistik perangkat jaringan
# 1 5: Mengambil sampel setiap 1 detik sebanyak 5 kali
sudo sar -n DEV 1 5

Identifikasi NIC dengan traffic tinggi.

Fokus pada nilai Average dari txkB/s (bandwidth rata-rata arah keluar). Dengan membandingkan nilai-nilai tersebut, temukan IFACE (nama NIC) dengan nilai tertinggi.

rxkB/s merepresentasikan laju bandwidth rata-rata arah masuk.

Linux 5.10.134-19.1.al8.x86_64 (iZbp1e5xxx)                    11/14/2025      _x86_64_        (2 CPU)
04:11:13 PM     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
04:11:14 PM        lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
04:11:14 PM      eth0    317.00    580.00     21.36    933.00      0.00      0.00      0.00      0.00
04:11:14 PM      eth1      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
04:11:14 PM     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
04:11:15 PM        lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
04:11:15 PM      eth0    328.00    582.00     22.34    943.08      0.00      0.00      0.00      0.00
04:11:15 PM      eth1      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
04:11:15 PM     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
04:11:16 PM        lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
04:11:16 PM      eth0    352.00    595.00     24.08    935.58      0.00      0.00      0.00      0.00
04:11:16 PM      eth1      1.00      1.00      0.04      0.04      0.00      0.00      0.00      0.00
04:11:16 PM     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
04:11:17 PM        lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
04:11:17 PM      eth0    347.00    581.00     23.58    943.02      0.00      0.00      0.00      0.00
04:11:17 PM      eth1      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
04:11:17 PM     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
04:11:18 PM        lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
04:11:18 PM      eth0    367.00    623.00     24.98    952.79      0.00      0.00      0.00      0.00
04:11:18 PM      eth1      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
Average:        IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
Average:           lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
Average:         eth0    342.20    592.20     23.27    941.49      0.00      0.00      0.00      0.00
Average:         eth1      0.20      0.20      0.01      0.01      0.00      0.00      0.00      0.00

Pada contoh ini, NIC eth0 memiliki nilai txkB/s tertinggi. Oleh karena itu, eth0 adalah NIC dengan traffic tinggi.

Langkah 2: Analisis dan atasi masalah traffic tinggi

Analisis traffic pada NIC tersebut.

iftop: Memantau traffic NIC dari perspektif koneksi. Tool ini mengidentifikasi alamat IP dan port yang menghasilkan traffic terbanyak ke instans Anda.

Untuk layanan web, Anda dapat menggunakan iftop untuk mengidentifikasi alamat IP dengan traffic tinggi dan menggabungkannya dengan tool seperti logwatch untuk menganalisis log web dan menentukan apakah traffic tersebut sah.
nethogs: Memantau traffic NIC dari perspektif proses. Tool ini mengidentifikasi proses yang mengonsumsi bandwidth jaringan terbanyak.

iftop

Instal tool iftop.
- Untuk Alibaba Cloud Linux dan CentOS:
```
sudo yum install -y iftop
```
- Untuk Ubuntu dan Debian:
```
sudo apt update
sudo apt install -y iftop
```
Pantau NIC dengan traffic tinggi.

Ganti <IFACE> dengan nama NIC bertraffic tinggi yang telah Anda identifikasi di Langkah 1.
```
# -i <IFACE>: Menentukan NIC yang akan dipantau.
# -P: Menampilkan nomor port.
sudo iftop -i <IFACE> -P
```
Sebagai contoh, jika NIC bertraffic tinggi adalah eth0, jalankan sudo iftop -i eth0 -P.

Analisis traffic NIC untuk menemukan alamat IP peer yang mengonsumsi bandwidth.

19.1Mb             38.1Mb             57.2Mb             76.3Mb             95.4Mb
iZbp1e5w04k4l xxx                  => 140.205.11 xxx                         4.32Mb  3.17Mb  1.06Mb
                                   &lt;=                                        62.9Kb  47.7Kb  15.1Kb
iZbp1e5w04k4l xxx                  => 140.xxx                                    0b   164Kb  41.1Kb
                                   &lt;=                                            0b  4.97Kb  1.30Kb
iZbp1e5w04k4l xxx                  => 140.xxx                                 796Kb   159Kb  40.1Kb
                                   &lt;=                                         15.5Kb  3.10Kb   804b
iZbp1e5w04k4l xxx                  => 140.xxx                                    0b  89.9Kb  29.2Kb
                                   &lt;=                                            0b  2.97Kb   882b
iZbp1e5w04k4l xxx                  => 140.xxx                                    0b  83.9Kb  46.4Kb
                                   &lt;=                                            0b  2.55Kb  1.25Kb
iZbp1e5w04k4l xxx                  => 140.xxx                                    0b  78.9Kb  50.7Kb
                                   &lt;=                                            0b  2.50Kb  1.52Kb
iZbp1e5w04k4l xxx                  => 140.xxx                                    0b  71.0Kb  89.6Kb
                                   &lt;=                                            0b  2.51Kb  2.85Kb
iZbp1e5w04k4l xxx                  => 140.xxx                                    0b  66.1Kb  26.2Kb
                                   &lt;=                                            0b  2.29Kb   822b
iZbp1e5w04k4lv xxx                 => 140.xxx                                    0b  65.6Kb  16.4Kb
                                   &lt;=                                            0b  1.62Kb   416b
iZbp1e5w04k4l xxx                  => 140.xxx                                    0b  61.1Kb  23.2Kb
                                   &lt;=                                            0b  1.77Kb   656b
iZbp1e5w04k4l xxx                  => 140.xxx                                    0b  56.2Kb  55.6Kb
                                   &lt;=                                            0b  1.53Kb  1.54Kb
iZbp1e5w04k4lv xxx                 => 140.xxx                                    0b  52.1Kb  75.3Kb
                                   &lt;=                                            0b  1.65Kb  2.40Kb
iZbp1e5w04k4l xxx                  => 140.xxx                                    0b  52.0Kb  13.0Kb
                                   <=                                            0b  1.42Kb   363b
─────────────────────────────────────────────────────────────────────────────────────────────────────
TX:           cum:   80.9MB   peak:  14.3Mb                          rates:  7.15Mb  6.52Mb  11.2Mb
RX:                  1.91MB           440Kb                                   146Kb   154Kb   276Kb
TOTAL:               82.8MB          14.6Mb                                  7.30Mb  6.67Mb  11.4Mb

Output ini mengurutkan informasi traffic real-time secara menurun. Simbol => menunjukkan laju pengiriman data dari instans Anda ke alamat IP peer. Pada contoh ini, laju traffic arah keluar rata-rata dari instans ke alamat IP 140.205.11.x selama 2 detik terakhir adalah 4,32 Mb/s.

Tekan q untuk keluar dari antarmuka iftop.

Lihat proses yang sesuai dengan port tersebut.

Ganti <PEER_IP_ADDRESS> dengan alamat IP peer yang Anda peroleh pada langkah sebelumnya.

sudo netstat -antp | grep <PEER_IP_ADDRESS>

Contoh berikut menunjukkan output sampel.

tcp    0    172.16.0.xxx    xxx    140.205.11.xxx    xxx    ESTABLISHED    2282/nginx: worker
tcp    0    172.16.0.xxx    xxx    140.205.11.xxx    xxx    ESTABLISHED    2282/nginx: worker
tcp    0    172.16.0.xxx    xxx    140.205.11.xxx    xxx    ESTABLISHED    2282/nginx: worker
tcp    0    172.16.0.xxx    xxx    140.205.11.xxx    xxx    ESTABLISHED    2282/nginx: worker
tcp    0    172.16.0.xxx    xxx    140.205.11.xxx    xxx    ESTABLISHED    2282/nginx: worker
tcp    0    172.16.0.xxx    xxx    140.205.11.xxx    xxx    ESTABLISHED    2282/nginx: worker

Pada contoh ini, alamat IP lokal adalah 172.16.0.x, alamat IP peer adalah 140.205.11.x, proses yang sesuai adalah nginx: worker, dan PID-nya adalah 2282.

nethogs

Contoh

Instal tool nethogs.
- Untuk Alibaba Cloud Linux dan CentOS:
```
sudo yum install -y nethogs
```
- Untuk Ubuntu dan Debian:
```
sudo apt update
sudo apt install -y nethogs
```
Pantau NIC dengan trafik tinggi.

Ganti <IFACE> dengan nama NIC bertraffic tinggi yang telah Anda identifikasi di Langkah 1.
```
# Interval pemantauan default adalah 1 detik. Anda dapat menggunakan -d untuk menentukan interval pemantauan.
sudo nethogs <IFACE>
```
Sebagai contoh, jika NIC bertraffic tinggi adalah eth0, jalankan sudo nethogs eth0.

Analisis traffic NIC.

NetHogs version 0.8.5
  PID USER     PROGRAM                                                        DEV        SENT      RECEIVED
 2282 nginx    nginx: worker process                                                   696.898    19.289 KB/sec
15823 root     sshd: root@pts/3                                                         0.773     0.231 KB/sec
    ? root     172.16.xxx.54.137:80                                                     0.000     0.000 KB/sec
    ? root     172.16.xxx.26.209:80                                                     0.000     0.000 KB/sec
    ? root     172.16.xxx.45.106:80                                                     0.000     0.000 KB/sec
    ? root     172.16.xxx.4.191:80                                                      0.000     0.000 KB/sec
    ? root     172.16.xxx.154.78:80                                                     0.000     0.000 KB/sec
 1749 root     /usr/local/cloudmonitor/bin/argusagent                                    0.000     0.000 KB/sec
    ? root     172.16.xxx.54.135:80                                                     0.000     0.000 KB/sec
    ? root     172.16.xxx.26.207:80                                                     0.000     0.000 KB/sec
    ? root     172.16.xxx.4.217:80                                                      0.000     0.000 KB/sec
    ? root     172.16.xxx.89.115:80                                                     0.000     0.000 KB/sec
 6215 root     /opt/aliyun-security/ilogtail/ilogtail-aliyun-security                    0.000     0.000 KB/sec
    ? root     172.16.xxx.154.78:80                                                     0.000     0.000 KB/sec
    ? root     172.16.xxx.83.69:80                                                      0.000     0.000 KB/sec
    ? root     172.16.xxx.54.132:80                                                     0.000     0.000 KB/sec
    ? root     172.16.xxx.26.210:80                                                     0.000     0.000 KB/sec
    ? root     172.16.xxx.4.217:80                                                      0.000     0.000 KB/sec
    ? root     172.16.xxx.89.113:80                                                     0.000     0.000 KB/sec
    ? root     172.16.xxx.154.78:80                                                     0.000     0.000 KB/sec
 1806 root     /usr/local/aegis/aegis_client/aegis_12_61/AliYunDun                       0.000     0.000 KB/sec
 2810 root     /usr/local/aegis/alihips/AliHips                                         0.000     0.000 KB/sec
 6172 root     /opt/aliyun-security/rapt-daemon/rapt-daemon                              0.000     0.000 KB/sec
    ? root     unknown TCP                                                               0.000     0.000 KB/sec

Kolom SENT menunjukkan laju pengiriman data dari instans Anda ke penerima (alamat IP peer). Pada contoh ini, proses yang mengonsumsi traffic terbanyak adalah nginx: worker process, dengan laju traffic arah keluar sekitar 696 KB/detik dan ID proses (PID) 2282. Tekan q untuk keluar dari antarmuka tool.

Pilih solusi berdasarkan proses atau alamat IP peer yang teridentifikasi.
- Jika proses yang teridentifikasi (seperti tool unduh seperti wget atau curl, atau program yang tidak dikenal) bersifat mencurigakan, atau jika berkomunikasi dengan alamat IP peer berbahaya:
  - Hentikan proses abnormal: Jalankan perintah sudo kill -15 <PID>. Ganti <PID> dengan PID proses bertraffic tinggi yang teridentifikasi.
    
    Penting
    Sebelum menghentikan proses, pastikan proses tersebut bukan proses bisnis kritis untuk menghindari gangguan layanan.
  - Blokir alamat IP berbahaya: Gunakan aturan security group untuk memblokir alamat IP berbahaya yang diketahui. Jika Anda mengalami serangan CC pada lapisan aplikasi dengan alamat IP sumber yang tersebar luas, aturan security group kurang efektif. Dalam kasus ini, kami menyarankan Anda menerapkan web application firewall (WAF) untuk perlindungan khusus. Untuk informasi lebih lanjut, lihat Tambahkan instans ECS ke WAF untuk mempertahankan diri dari serangan CC.
  - Pindai dan hapus program berbahaya: Aktifkan fitur deteksi dan penghapusan virus di Security Center untuk melakukan pemindaian penuh pada instans dan menghapus program berbahaya yang terdeteksi.
  - Tanggapi serangan DDoS frekuensi tinggi: Selama serangan DDoS atau CC frekuensi tinggi, traffic puncak dapat melebihi ambang batas blackhole Anti-DDoS Origin. Hal ini dapat menyebabkan layanan cloud Anda masuk ke status blackhole dan menjadi tidak dapat diakses. Dalam skenario ini, Anda harus mengaktifkan Anti-DDoS Pro dan Anti-DDoS Premium untuk memastikan ketersediaan layanan.
- Jika proses bisnis yang sah menghasilkan traffic tinggi, kemungkinan besar hal ini disebabkan oleh permintaan bisnis normal:
  - Tingkatkan bandwidth: Kapasitas jaringan instans saat ini menjadi bottleneck. Anda harus meningkatkan bandwidth instans.
  - Optimalkan aplikasi: Tinjau kode aplikasi Anda untuk potensi optimasi, seperti mengurangi transfer data yang tidak perlu, menambahkan caching, atau mengompresi data.
  - Batasi laju traffic: Jika layanan Anda memungkinkan, Anda dapat menggunakan tool seperti iptables untuk membatasi laju traffic untuk alamat IP atau port tertentu. Hal ini mencegah satu pengguna atau layanan mengonsumsi seluruh bandwidth yang tersedia.
- Jika Anda tidak menemukan proses apa pun yang mengonsumsi bandwidth abnormal tetapi penggunaan keseluruhan tetap tinggi, kemungkinan besar total traffic layanan telah melebihi kapasitas jaringan instans. Dalam kasus ini, Anda harus meningkatkan bandwidth instans.

Langkah selanjutnya

Kami menyarankan Anda mengumpulkan metrik sistem secara berkala untuk analisis berkelanjutan. Untuk informasi lebih lanjut, lihat Gunakan tool atop untuk memantau metrik sistem Linux.
Konfigurasikan pemantauan dan peringatan instans untuk menerima notifikasi tentang risiko dan anomali di masa depan.