免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
123下一页
最近访问板块 发新帖
查看: 18289 | 回复: 22
打印 上一主题 下一主题

关于linux向外大量发送udp包 [复制链接]

论坛徽章:
9
2015亚冠之阿尔纳斯尔
日期:2015-09-10 16:21:162015亚冠之塔什干火车头
日期:2015-07-01 16:23:022015年亚洲杯之巴勒斯坦
日期:2015-04-20 17:19:46子鼠
日期:2014-11-13 09:51:26未羊
日期:2014-08-28 18:13:36技术图书徽章
日期:2014-02-21 09:30:15酉鸡
日期:2014-01-14 11:12:49天蝎座
日期:2013-12-09 17:56:53平安夜徽章
日期:2015-12-26 00:06:30
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2010-11-20 11:21 |只看该作者 |倒序浏览
有台linux服务器,提供web服务
但最近发现网络流量大增,超过了百兆网卡的最大流量,导致网站访问不了
检查发现服务器在向某个IP发送大量UDP包,包比较大(已经用红色标出),用iptables记录日志如下

查看cron里面空的,ps进程也没有可疑进程
我想了解下是由什么程序发送出去的?怎么样查看?谢谢

Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13191 PROTO=UDP SPT=15086 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13192 PROTO=UDP SPT=9926 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13193 PROTO=UDP SPT=58928 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13194 PROTO=UDP SPT=2346 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13195 PROTO=UDP SPT=9369 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13196 PROTO=UDP SPT=17700 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13197 PROTO=UDP SPT=12052 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13198 PROTO=UDP SPT=47072 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13199 PROTO=UDP SPT=11885 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13200 PROTO=UDP SPT=51187 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13201 PROTO=UDP SPT=58138 DPT=80 LEN=8200

论坛徽章:
0
2 [报告]
发表于 2010-11-20 13:23 |只看该作者

论坛徽章:
0
3 [报告]
发表于 2010-11-20 22:35 |只看该作者
tcpdump, 看看发送的到底是些什么东西.
lsof 看看那个程序打开了对应的udp端口.

论坛徽章:
0
4 [报告]
发表于 2010-11-20 22:45 |只看该作者
大量数据包发到对方的80端口哦,莫非这就是传说中的肉鸡?

论坛徽章:
0
5 [报告]
发表于 2010-11-20 23:56 |只看该作者
我觉得用netstat -nlp应该可以看出来。

论坛徽章:
0
6 [报告]
发表于 2010-11-21 07:12 |只看该作者
汗,怎么还是UDP的?

论坛徽章:
0
7 [报告]
发表于 2010-11-21 16:17 |只看该作者
被人当肉鸡DDOS出去的流量,netstat -tunpl可以看看哪个进程

论坛徽章:
0
8 [报告]
发表于 2010-11-21 18:43 |只看该作者
是不是后台进程运行的 看后台任务:jobs

论坛徽章:
9
2015亚冠之阿尔纳斯尔
日期:2015-09-10 16:21:162015亚冠之塔什干火车头
日期:2015-07-01 16:23:022015年亚洲杯之巴勒斯坦
日期:2015-04-20 17:19:46子鼠
日期:2014-11-13 09:51:26未羊
日期:2014-08-28 18:13:36技术图书徽章
日期:2014-02-21 09:30:15酉鸡
日期:2014-01-14 11:12:49天蝎座
日期:2013-12-09 17:56:53平安夜徽章
日期:2015-12-26 00:06:30
9 [报告]
发表于 2010-11-22 12:28 |只看该作者
回复 3# blue_stone


    谢谢,我先用试下,有结果再来回复

论坛徽章:
0
10 [报告]
发表于 2010-12-15 17:38 |只看该作者
我的系统也是这样,系统向外大量发UDP包,流量达400M.

检查是因PHP-CGI引起,KILL 掉PHP-CGI进程,流量马上下来.
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP