谁见过这样的网络事故？

双眼皮的猪

看看unreplied的连接有多少...有可能是内网有人在扫描外网服务器...

我整个脚本你执行一下 ：

1. cat /proc/net/ip_conntrack | grep “UNREP” | awk -F= {' print $2 '} | awk {' print $1 '} | sort | uniq -c | sort

复制代码

呵呵，目的是查看unreplied的tcp连接...
如果太多的话，有可能是
1  内网有人扫描外网服务器
2  病毒SYN扫描...


你的nat链满了是什么意思？是nat满了？还是连接跟踪满了？
算了，写个脚本把unreplied的非法连接数过多的ip找出来...
对应/proc/net/arp表,把该ip对应的mac地址找出来..
用iptables的mac扩展模块封掉...

双眼皮的猪

恩,不客气
这个文件到800多M？天...
我倒不清楚有没那么大...你们那里多大的网段啊...
按照我说的做...
(1)检查unreplied连接过的ip,我用的150,超过了算病毒
(2)封掉该ip,也可以封掉该ip的mac地址
(3)定期清理已经unreplied变小到150以内的ip,免得人家杀了毒还上不了
(4)修改ip_conntrack_max文件,定义大一些,根据你的服务器硬件类型来定义

双眼皮的猪

呵呵...写的不明白...应该回头上小学...
(1)有一个ip
(2)他拼命的发syn包,目标地址任意
(3)他发的包在ip_conntrack中有很多显示是UNREPLIED
(4)他发的UNREPLIED的包超过150个保持在ip_conntrack里(150条连接)
(5)封掉它

大家多多交流,一起进步...别客气：）
呵呵...

双眼皮的猪

不好意思，我是说我应该回头上小学，千万不要误会，我最近表达能力越来越烂了....