[求助]keepalived+lvs+lamp服务器流量突增，带宽被占满导致网站无法访问
公司网站服务器为keepalived+lvs+lamp架构，1台keepalived+2台web+1台mysql
昨日晚间突然无法访问，同时也无法远程连接，ping服务器IP几乎全部拒绝。经查询服务器带宽瞬间从几M冲到了70兆左右（70兆为机房限制的最大带宽数,带宽监控为机房提供）。
后来到机房查看，为两台web服务器的问题，只要拔掉两台web服务器的外网网线带宽随即恢复正常。当时查询两台web服务器的cpu、内存、进程均无问题。
直接重起两台web服务器，问题消失。而后查询服务器日志messages与apache日志，没有发现任何异常。
该网站是公司门户类网站，平时就没有多大的访问量，而且发生故障时apache的日志也显示没有多少用户访问，所以初步排除网站被恶意攻击，但还是无法找出网站问题的所在。
所以请各位大侠出手相助，有没有遇到过类似的问题，或是可以提供一下调查问题的思路。小弟在此不胜感激

------解决方案--------------------
被攻击？看下secure日志，是否被大量强制登录
或者网卡出问题
查看交换机上联监控，看流量是否正常，机房其他机器是否有问题
...
------解决方案--------------------
而后查询服务器日志messages与apache日志，没有发现任何异常。
该网站是公司门户类网站，平时就没有多大的访问量，而且发生故障时apache的日志也显示没有多少用户访问，所以初步排除网站被恶意攻击，但还是无法找出网站问题的所在。
------------------------------
你不能靠这个来排除网站被恶意攻击

被流量攻击 messages与apache日志里是不会有记录的

从你提供的线索"服务器带宽瞬间从几M冲到了70兆左右" 应该就是被攻击 你应该看看是进站流量还是出站流量

------解决方案--------------------
直接就tcpdump看看是谁TMD发那么多连接。
------解决方案--------------------

探讨

引用:

直接就tcpdump看看是谁TMD发那么多连接。

当时给忘记了，直接重起了机器。后来想起这个后悔呀
却实应该先抓包的。

------解决方案--------------------
我觉得应该先用抓包工具看下谁占用的宽带，看下那个ip搞的鬼