インバウンドトラフィックがアウトバウンドトラフィックをはるかに超えるのは正常ですか?
ColocホストにWebサーバーがあります。すべての「計画された」アクティビティはHTTPを介して行われます。 (FTPサーバー、bittorrentクライアント、IRCボットなど)はありません。
インバウンドトラフィックは、アウトバウンドトラフィックよりも一貫して5〜10倍高くなっています。 (たとえば、過去24時間で228MBのデータを提供しましたが、1.94GBを受け取りました。)
これはWebサーバーの標準/期待ですか? (私はおそらく、パケットサイズと0バイトの応答が通常の逆の関係を圧倒するような妨害された不正な試みに非難されているのでしょうか?)
これが予期されていない場合、トラフィックがどこから来ているかを調査するためにどのツールを使用する必要がありますか? (サーバーはUbuntu 10.04を実行しています。)
一部のプロトコルでははい。他の人にはありません。答えは、環境にとって「正常」なトラフィックの種類によって異なります。
Webブラウジングについて考えてみてください(そして、それがオフィスなどの通常のインターネットトラフィックを代表していることに少し同意しましょう):
この質問を見たいので、serverfault.comに接続して行きます
GET questions/361329 HTTP/1.1
Host: serverfault.com
アウトバウンドトラフィック(リクエスト)の合計サイズ:すべてのプロトコルオーバーヘッドと、ブラウザが画像などに対して行う追加のリクエストを含めると、おそらく1Kになります。
Serverfault.comサーバーは私の要求をかみ砕き、数百KBのHTMLや画像などを返します。
アウトバウンドトラフィック:1k。インバウンドトラフィック:19k(そのコロンの時点)。
あなたがその方程式のserverの半分である場合、アウトバウンドトラフィックがインバウンドトラフィックをはるかに超えるのは正常です。匿名ISPのWebホスティングネットワークからこのグラフを見てください。 
今、あなたのトラフィックがあなたが思うように見えないなら、あなたは良いトラフィック監視システム(またはtcpdump/ Ethereal /etc。何が起こっているのか、少なくとも誰がどのポートで誰と話しているのかがわかります。
ランダムな考え:
背後にあるアプリケーションサーバーにプロキシするnginxサーバーがあります。同様の設定がある場合、Webサーバーを通過するアプリサーバーからの応答ペイロードは「インバウンド」と見なされますか?
ウェブサーバーのログをチェックして、POSTリクエストが入ってくるかどうかを確認できますか?.
サイト上のURLはPOSTデータを受け入れますか?Webサーバーには本文のサイズを制限する方法があります。おそらくそれはある程度の解決につながるでしょう。たとえば、これはPOST nginxで1メガまでのボディサイズ:
client_max_body_size 1m;
最後に、サーバーがWeb(およびSSH)トラフィック以外のものを取得してはならない場合は、iptablesを使用して80と22以外のすべてをブロックします。