尝试识别 Linux Debian VM 上的带宽使用/峰值

我是否正确假设蓝线代表入站流量（从外部下载到 VM）而紫线代表出站（从 VM 上传到外部）？如果是这样，则支持 Hyper-V 带宽管理的 Windows 服务质量 (QoS) 功能将无法减少入站峰值：

注意：您可以使用 QoS 来控制出站流量，但不能控制入站流量。例如，使用 Hyper-V 副本，您可以使用 QoS 来控制出站流量（来自主服务器），但不能控制入站流量（来自副本服务器）。

另请参阅此TechNet 讨论，它加强了与 Hyper-V 的相关性：

我可以确认，[Hyper-V 最大带宽] 仅适用于 VM 的出站流量。但是文档中没有提到这个事实。这是错误还是功能？

尝试识别正在消耗带宽的特定应用程序或服务。一种方法是使用Debian 存储库中提供的atop。但是，您需要手动安装netatop内核模块，该模块启用每个进程的网络记帐，但未包含在 Debian 软件包中。完整的说明在网站上，并在此处进行了总结：

1. 下载最新的netatop-xxtar.gz
2. 安装包zlib1g-dev、build-essential和linux-headers-amd64（假设是 64 位架构）

3. 构建并安装模块和守护进程。从提取的存档的顶级目录并运行以下命令：

   make
   sudo make install
   

4. 加载模块并启动守护进程：

   systemctl start netatop
   

5. 加载模块并在启动后自动启动守护进程：

   systemctl enable netatop
   

在虚拟机上运行sudo atop -n并等待网络峰值。您可能能够通过其较高的 BANDWI 和 NET 值来发现有问题的服务，例如本例中的 sshd：

顺便说一句，我假设您的网络图专门测量虚拟机的网络适配器。如果不是——例如，如果它正在测量 Hyper-V 服务器上的物理适配器——那么它实际上可能是导致峰值的 Windows 进程。解决这个问题的方法是类似的，您首先要找到一个适用于 Windows 的顶级类似物。

更新：

您的屏幕截图表明，在此时间段内第 3 层 IP 数据包的数量 ( ipi = 866802) 大大超过了 ICMP 数据包 ( icmpi = 199) 加上第 4 层 TCP/UDP 数据包 ( tcpi =4316, udpi =47) 的总和。这一点，再加上没有任何正在运行的进程参与，表明虚拟机正被外部来源的格式错误（恶意？）流量淹没。

您需要应用davidgo 的建议来使用 tcpdump。您可以使用它的一种方法是运行 bash 循环以等待每秒传入的数据包超过阈值：

#!/bin/bash
threshold=10000   # packets/sec; note that atop(1) reports packets per 10sec by default
waiting=1
while [[ $waiting -eq 1 ]]
do
    atopsar -w 10 1 | tail -n1 | awk "\$2 < $threshold {exit 1}"
    waiting=$?
done
tcpdump -ieth0 -w out.pcap

出现问题后，您可以将生成的out.pcap文件复制到另一台计算机，然后使用 Wireshark 打开它。从那里，应用Statistics -> Endpoints以查看多余流量的来源。如果您本地网络中的设备（甚至可能是 Hyper-V 服务器）正在生成流量，那么您可以重新配置它以停止。如果 Internet 上的单个 IP 正在生成流量，那么您可以找到一种使用防火墙将其列入黑名单的方法。如果它有很多 IP，那么您可能需要阅读有关分布式拒绝服务攻击 (DDoS) 以及如何使用防火墙和/或 ISP 来阻止流量的信息。许多 DDoS 文章都可以在线获得，例如来自 Amazon 的这篇文章。