一台阿里云的服务器，看监控感觉入口流量有点奇怪，一直维持在10-20KB/s
$ sudo ifstat -i eth1观察了段时间，即时入口流量有突发到100+KB/s的情况。。

但是iptables input只允许ssh连接。
除去ssh和arp，$ sudo tcpdump -i eth1没有看到有什么奇怪的请求。

不过$ sudo nethogs e美国服务器th1倒是可以看到有其他ip尝试连接1080之类的端口。

又看了下国外的一台vps，入口流量基本维持在4-5KB/s。

我这个入口流量是怎么回事？
监控数据/ifstat的入口流量数据难道记录了被iptables drop掉的包？

我抓过包，都是ARP，发工单问，回复说是正常的

不过目测的话，入口流量突发到100+KB/s时，tcpdump包好像也没有很明显的增加。

你加了抓包参数吗？我直接抓接口所有包。ARP占几十Kbit/s

加了，主楼都有，几个命名都是指定抓eth1网卡（eth0是内网）。而且我的单位都是kilo byte/s，不是kilo bit/s。
不过确实eth1能够看到有外网尝试连本地1080/1433/3389之类端口的syn包。

应该是阿里云的云盾数据流量

确实可以看到aegis服务几个进程，AliYunDun/AliHids/AliYunDunUpdate。
如果是云盾有入口流量，端口是多少？
网页上显示云盾一直是异常，没加iptables时好像也是异常- -

貌似一直都有这个问题，入网流量异常。我猜测是云盾的数据流量。我的服务器平均日入网流量50~100K，不是我自己的数据迁移流量。另外我还在想是不是太多入侵扫描造成的。