Chinaunix

标题: 关于linux向外大量发送udp包 [打印本页]

作者: HH106 时间: 2010-11-20 11:21
标题: 关于linux向外大量发送udp包
有台linux服务器,提供web服务
但最近发现网络流量大增，超过了百兆网卡的最大流量，导致网站访问不了
检查发现服务器在向某个IP发送大量UDP包，包比较大（已经用红色标出），用iptables记录日志如下

查看cron里面空的，ps进程也没有可疑进程
我想了解下是由什么程序发送出去的?怎么样查看?谢谢

Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13191 PROTO=UDP SPT=15086 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13192 PROTO=UDP SPT=9926 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13193 PROTO=UDP SPT=58928 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13194 PROTO=UDP SPT=2346 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13195 PROTO=UDP SPT=9369 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13196 PROTO=UDP SPT=17700 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13197 PROTO=UDP SPT=12052 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13198 PROTO=UDP SPT=47072 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13199 PROTO=UDP SPT=11885 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13200 PROTO=UDP SPT=51187 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13201 PROTO=UDP SPT=58138 DPT=80 LEN=8200

作者: gaius_julius 时间: 2010-11-20 13:23

作者: blue_stone 时间: 2010-11-20 22:35
tcpdump, 看看发送的到底是些什么东西.
lsof 看看那个程序打开了对应的udp端口.

作者: marsaber 时间: 2010-11-20 22:45
大量数据包发到对方的80端口哦，莫非这就是传说中的肉鸡？

作者: jerrywjl 时间: 2010-11-20 23:56
我觉得用netstat -nlp应该可以看出来。

作者: Yuri.G. 时间: 2010-11-21 07:12
汗，怎么还是UDP的？

作者: wellwong 时间: 2010-11-21 16:17
被人当肉鸡DDOS出去的流量，netstat -tunpl可以看看哪个进程

作者: 版主杀手 时间: 2010-11-21 18:43
是不是后台进程运行的看后台任务:jobs

作者: HH106 时间: 2010-11-22 12:28
回复 3# blue_stone

谢谢，我先用试下，有结果再来回复

作者: shengma_cu 时间: 2010-12-15 17:38
我的系统也是这样,系统向外大量发UDP包,流量达400M.

检查是因PHP-CGI引起,KILL 掉PHP-CGI进程,流量马上下来.

作者: chenyx 时间: 2010-12-15 20:31
是不是有病毒啊,80端口一般是tcp的,以前见过windows机器中病毒狂发upd80的包

作者: HH106 时间: 2010-12-16 11:44
回复 10# shengma_cu

php-cgi进程?
能够起用udp端口吗?
您是如何找出来的?

作者: HH106 时间: 2010-12-16 11:47
回复 11# chenyx

恩，就是怀疑机器中了什么恶意程序,充当肉鸡,
向指定IP 80端口发送UDP包,而且是不定时的，暂时只有用iptables禁止向外发

作者: platinum 时间: 2010-12-16 11:56
应该是中了木马，被当做肉鸡进行 DDoS 型的带宽饱和攻击
依据：
1、目标 IP 是同一个，很有针对性
2、是 UDP 端口 80，用意在消耗带宽
3、LEN=8220，是 UDP 大包，且一定分片了，绝对是肉鸡，在帮助宿主进行带宽饱和攻击

作者: chenyx 时间: 2010-12-16 13:53
udp80没什么应用,直接在防火墙上Drop掉得了

作者: taojie2000 时间: 2010-12-16 15:54
回复 1# HH106

http://www.hbblxk.com/

ping下这个网站就知道是啥了

作者: HH106 时间: 2010-12-16 15:55
回复 14# platinum

恩，就是消耗带宽，超过了百兆网卡的最大流量,导致web服务不稳定~
用tcpdump -i eth1 udp port 80 监控了好几天，想找出是什么程序在向外发包，结果什么也没有抓到
netstat -ntulp 也看不出来异常.
无奈，只好重装了系统解决.

作者: platinum 时间: 2010-12-16 16:42

回复 platinum

恩，就是消耗带宽，超过了百兆网卡的最大流量,导致web服务不稳定~
用tcpdump -i ...
HH106 发表于 2010-12-16 15:55

lsof 能看出问题吗？/var/log/messages、last 等日志里有敏感信息吗？
如果找不到攻击来源，很难避免将来再被攻击，所以当时应该好好保留攻击环境，仔细分析一下为好

作者: snow888 时间: 2010-12-17 11:07
回复 18# platinum

白金，能详细说一下么。

这个知识是非常有用的。

作者: HH106 时间: 2010-12-17 15:24
回复 18# platinum

恩，谢谢您的建议，我也想找出到底是什么原因，您说的这些我都有仔细查看过.
无奈水平有限，忙活了好几天，也没看出什么异常来. 只好重新安装了。

作者: platinum 时间: 2010-12-18 00:20

回复 platinum

白金，能详细说一下么。

这个知识是非常有用的。
snow888 发表于 2010-12-17 11:07

我还没有能够总结成方法，不好说如何处理，一般都是根据各种信息去分析，方法不一

作者: elang 时间: 2011-11-23 09:48
重新装系统也不一定有用，因为php就可以发包。
搜索下phpddos原理找找，做些设置就OK了

作者: 405395364 时间: 2011-11-23 10:12
{:2_179:}{:2_179:}

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)