walkermyy 发表于 2013-10-12 00:42

半小时内产生了近800M的DNS流量,服务器是否被攻击了?


用ntop分析,获取以下数据,半小时内,DNS流量吓死人鸟:(

DNS        768.2 MBytes         631,514请求

服务器基本上就2-3个人访问,怎么产生这么大的DNS流量呢,吓尿了:(       

ssffzz1 发表于 2013-10-12 09:23

嗯。DNS的流量很小的,你抓包看下吧。很有可能。

SCO@WIN 发表于 2013-10-17 22:45

基本上都是UDP报文,应该不会有这么大吧。

walkermyy 发表于 2013-10-30 02:50

关闭dns服务器很久了,刚才抓了下udp 53端口的包,
4分45秒 抓了3000个外部发到我服务器的DNS请求,这是怎么回事?

每秒有10.5个DNS请求到达我的服务器,这是攻击么?

wenhq 发表于 2013-10-30 06:44

应该是,分析source ip了吗?

walkermyy 发表于 2013-11-04 15:56

wenhq 发表于 2013-10-30 06:44 static/image/common/back.gif
应该是,分析source ip了吗?

tcpdum成文本格式,再自己写Python,统计IP么?
是否有统计工具?

wenhq 发表于 2013-11-04 16:09

tcpdump > file
awk 处理下即可。

walkermyy 发表于 2013-11-04 16:18

wenhq 发表于 2013-11-04 16:09 static/image/common/back.gif
tcpdump > file
awk 处理下即可。
不会awk:(

wenhq 发表于 2013-11-04 17:02

那就sort|uniq -c

walkermyy 发表于 2013-11-06 03:40

wenhq 发表于 2013-11-04 17:02 static/image/common/back.gif
那就sort|uniq -c
你的命令不行的,因为 tcpdump前面有时间标签
03:38:43.372374 ARP, Request who-has 10.4.5.31 tell 10.4.5.78, length 46
页: [1] 2
查看完整版本: 半小时内产生了近800M的DNS流量,服务器是否被攻击了?