流量攻击？

superarmy

我有一台dns服务器，放置于电信机房，最近老是频繁掉线（ping 不同,不能提供服务），我设置了一个任务，每分钟截取ifconfig中网卡的流量记录，发现当掉线时，进入流量激增
Thu Jan 22 14:37:01 CST 2009
          RX packets:89511 errors:0 dropped:0 overruns:0 frame:0
          RX bytes:10251248 (9.7 MiB)  TX bytes:21116322 (20.1 MiB)
Thu Jan 22 14:38:01 CST 2009
          RX packets:89632 errors:0 dropped:0 overruns:0 frame:0
          RX bytes:10264127 (9.7 MiB)  TX bytes:21140636 (20.1 MiB)
Thu Jan 22 14:39:01 CST 2009
          RX packets:332148 errors:0 dropped:0 overruns:0 frame:0
          RX bytes:335151625 (319.6 MiB)  TX bytes:21195746 (20.2 MiB)
Thu Jan 22 14:40:01 CST 2009
          RX packets:873235 errors:0 dropped:0 overruns:0 frame:0
          RX bytes:1067727875 (1018.2 MiB)  TX bytes:21208919 (20.2 MiB)
但是查看同时间截取的netstat -na输出记录，却发现基本没有连接
**********************************************************************
Thu Jan 22 14:38:01 CST 2009
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:110                 0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:2001                0.0.0.0:*                   LISTEN      
tcp        0      0 61.xxx.xxx.xxx:53            0.0.0.0:*                   LISTEN      
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      
tcp        0      0 61.xxx.xxx.xxx:80            116.252.185.32:4356         TIME_WAIT   
tcp        0      0 61.xxx.xxx.xxx:80            116.252.185.32:4350         TIME_WAIT   
udp        0      0 0.0.0.0:32769               0.0.0.0:*                              
udp        0      0 0.0.0.0:32794               0.0.0.0:*                              
udp        0      0 61.xxx.xxx.xxx:53            0.0.0.0:*                              
udp        0      0 127.0.0.1:53                0.0.0.0:*                              
udp        0      0 0.0.0.0:5353                0.0.0.0:*                              
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ACC ]     STREAM     LISTENING     6704   @/var/run/hald/dbus-jCQSF2CaUy
unix  2      [ ACC ]     STREAM     LISTENING     5340   /var/run/audit_events
unix  2      [ ACC ]     STREAM     LISTENING     5625   /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     5690   /var/run/sdp
unix  2      [ ACC ]     STREAM     LISTENING     5753   /var/run/pcscd.comm
unix  2      [ ACC ]     STREAM     LISTENING     5876   /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     6668   /var/run/avahi-daemon/socket
unix  2      [ ACC ]     STREAM     LISTENING     6046   /var/lib/mysql/mysql.sock
unix  2      [ ]         DGRAM                    1352   @/org/kernel/udev/udevd
unix  2      [ ]         DGRAM                    6713   @/org/freedesktop/hal/udev_event
unix  2      [ ACC ]     STREAM     LISTENING     6705   @/var/run/hald/dbus-Pt8rEDFFDl
unix  16     [ ]         DGRAM                    5366   /dev/log
unix  2      [ ]         DGRAM                    464394
unix  2      [ ]         DGRAM                    253676
unix  2      [ ]         DGRAM                    140332
unix  2      [ ]         DGRAM                    140236
unix  2      [ ]         DGRAM                    52610  
unix  3      [ ]         STREAM     CONNECTED     7800   /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     7799   
unix  3      [ ]         STREAM     CONNECTED     7801   @/var/run/hald/dbus-jCQSF2CaUy
unix  3      [ ]         STREAM     CONNECTED     7790   
unix  3      [ ]         STREAM     CONNECTED     7647   @/var/run/hald/dbus-jCQSF2CaUy
unix  3      [ ]         STREAM     CONNECTED     7646   
unix  3      [ ]         STREAM     CONNECTED     7628   /var/run/acpid.socket
unix  3      [ ]         STREAM     CONNECTED     7625   
unix  3      [ ]         STREAM     CONNECTED     7618   @/var/run/hald/dbus-jCQSF2CaUy
unix  3      [ ]         STREAM     CONNECTED     7600   
unix  3      [ ]         STREAM     CONNECTED     7599   @/var/run/hald/dbus-jCQSF2CaUy
unix  3      [ ]         STREAM     CONNECTED     7597   
unix  3      [ ]         STREAM     CONNECTED     6708   @/var/run/hald/dbus-Pt8rEDFFDl
unix  3      [ ]         STREAM     CONNECTED     6707   
unix  3      [ ]         STREAM     CONNECTED     6673   /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     6672   
unix  3      [ ]         STREAM     CONNECTED     6671   /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     6670   
unix  3      [ ]         STREAM     CONNECTED     6665   
unix  3      [ ]         STREAM     CONNECTED     6664   
unix  2      [ ]         DGRAM                    6662   
unix  2      [ ]         DGRAM                    6652   
unix  2      [ ]         DGRAM                    5931   
unix  2      [ ]         DGRAM                    5836   
unix  2      [ ]         DGRAM                    5780   
unix  2      [ ]         DGRAM                    5739   
unix  3      [ ]         STREAM     CONNECTED     5684   /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     5683   
unix  2      [ ]         DGRAM                    5663   
unix  2      [ ]         DGRAM                    5653   
unix  3      [ ]         STREAM     CONNECTED     5628   
unix  3      [ ]         STREAM     CONNECTED     5627   
unix  2      [ ]         DGRAM                    5374   
unix  3      [ ]         STREAM     CONNECTED     5311   
unix  3      [ ]         STREAM     CONNECTED     5310   
**********************************************************************
**********************************************************************
Thu Jan 22 14:40:01 CST 2009
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:110                 0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:2001                0.0.0.0:*                   LISTEN      
tcp        0      0 61.xxx.xxx.xxx:53            0.0.0.0:*                   LISTEN      
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      
udp        0      0 0.0.0.0:32769               0.0.0.0:*                              
udp        0      0 0.0.0.0:32794               0.0.0.0:*                              
udp        0      0 61.xxx.xxx.xxx:53            0.0.0.0:*                              
udp        0      0 127.0.0.1:53                0.0.0.0:*                              
udp        0      0 0.0.0.0:5353                0.0.0.0:*                              
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ACC ]     STREAM     LISTENING     6704   @/var/run/hald/dbus-jCQSF2CaUy
unix  2      [ ACC ]     STREAM     LISTENING     5340   /var/run/audit_events
unix  2      [ ACC ]     STREAM     LISTENING     5625   /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     5690   /var/run/sdp
unix  2      [ ACC ]     STREAM     LISTENING     5753   /var/run/pcscd.comm
unix  2      [ ACC ]     STREAM     LISTENING     5876   /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     6668   /var/run/avahi-daemon/socket
unix  2      [ ACC ]     STREAM     LISTENING     6046   /var/lib/mysql/mysql.sock
unix  2      [ ]         DGRAM                    1352   @/org/kernel/udev/udevd
unix  2      [ ]         DGRAM                    6713   @/org/freedesktop/hal/udev_event
unix  2      [ ACC ]     STREAM     LISTENING     6705   @/var/run/hald/dbus-Pt8rEDFFDl
unix  16     [ ]         DGRAM                    5366   /dev/log
unix  2      [ ]         DGRAM                    464394
unix  2      [ ]         DGRAM                    253676
unix  2      [ ]         DGRAM                    140332
unix  2      [ ]         DGRAM                    140236
unix  2      [ ]         DGRAM                    52610  
unix  3      [ ]         STREAM     CONNECTED     7800   /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     7799   
unix  3      [ ]         STREAM     CONNECTED     7801   @/var/run/hald/dbus-jCQSF2CaUy
unix  3      [ ]         STREAM     CONNECTED     7790   
unix  3      [ ]         STREAM     CONNECTED     7647   @/var/run/hald/dbus-jCQSF2CaUy
unix  3      [ ]         STREAM     CONNECTED     7646   
unix  3      [ ]         STREAM     CONNECTED     7628   /var/run/acpid.socket
unix  3      [ ]         STREAM     CONNECTED     7625   
unix  3      [ ]         STREAM     CONNECTED     7618   @/var/run/hald/dbus-jCQSF2CaUy
unix  3      [ ]         STREAM     CONNECTED     7600   
unix  3      [ ]         STREAM     CONNECTED     7599   @/var/run/hald/dbus-jCQSF2CaUy
unix  3      [ ]         STREAM     CONNECTED     7597   
unix  3      [ ]         STREAM     CONNECTED     6708   @/var/run/hald/dbus-Pt8rEDFFDl
unix  3      [ ]         STREAM     CONNECTED     6707   
unix  3      [ ]         STREAM     CONNECTED     6673   /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     6672   
unix  3      [ ]         STREAM     CONNECTED     6671   /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     6670   
unix  3      [ ]         STREAM     CONNECTED     6665   
unix  3      [ ]         STREAM     CONNECTED     6664   
unix  2      [ ]         DGRAM                    6662   
unix  2      [ ]         DGRAM                    6652   
unix  2      [ ]         DGRAM                    5931   
unix  2      [ ]         DGRAM                    5836   
unix  2      [ ]         DGRAM                    5780   
unix  2      [ ]         DGRAM                    5739   
unix  3      [ ]         STREAM     CONNECTED     5684   /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     5683   
unix  2      [ ]         DGRAM                    5663   
unix  2      [ ]         DGRAM                    5653   
unix  3      [ ]         STREAM     CONNECTED     5628   
unix  3      [ ]         STREAM     CONNECTED     5627   
unix  2      [ ]         DGRAM                    5374   
unix  3      [ ]         STREAM     CONNECTED     5311   
unix  3      [ ]         STREAM     CONNECTED     5310   
**********************************************************************
我也查看了message中的记录也没有更多的提示

请问有没有其他更好的办法查出攻击来源或者攻击方式或者攻击服务！

luo118

看一下日志，你这看不到什么问题

superarmy

messages日志？
信息更少啊
Jan 22 14:11:51 L-DX-0807-NS01 named[3825]: client xxx.xxx.xxx.xxx#32966: transfer of 'XXXXXX.com.cn/IN': AXFR started: TSIG 18-50
Jan 22 14:11:51 L-DX-0807-NS01 named[3825]: client xxx.xxx.xxx.xxx#32966: transfer of 'XXXXXX.com.cn/IN': AXFR ended
Jan 22 14:17:14 L-DX-0807-NS01 named[3825]: client 116.24.145.57#4259: update 'XXXXXX.com/IN' denied
Jan 22 14:21:21 L-DX-0807-NS01 named[3825]: client 119.113.156.173#61428: update 'XXXXXX.com/IN' denied
Jan 22 14:24:26 L-DX-0807-NS01 named[3825]: client 119.113.156.173#51002: update 'XXXXXX.com/IN' denied
Jan 22 14:25:55 L-DX-0807-NS01 named[3825]: client 119.113.156.173#55083: update 'XXXXXX.com/IN' denied
Jan 22 14:26:30 L-DX-0807-NS01 named[3825]: client 116.24.145.57#5185: update 'XXXXXX.com/IN' denied
Jan 22 14:28:00 L-DX-0807-NS01 named[3825]: client 222.72.227.243#37531: update 'XXXXXX.com/IN' denied
Jan 22 14:30:11 L-DX-0807-NS01 named[3825]: client 222.72.227.243#37723: update 'XXXXXX.com/IN' denied
Jan 22 14:33:37 L-DX-0807-NS01 named[3825]: client 222.72.227.243#38005: update 'XXXXXX.com/IN' denied
Jan 22 14:34:26 L-DX-0807-NS01 ACASrvSSL[3865]: Connection from 61.xxx.xxx.xxx:48526
Jan 22 14:34:26 L-DX-0807-NS01 ACASrvSSL[8297]: session begins successfully
Jan 22 14:34:26 L-DX-0807-NS01 ACASrvSSL[8297]: request executed successfully
Jan 22 14:34:26 L-DX-0807-NS01 ACASrvSSL[8297]: session ended
Jan 22 14:34:26 L-DX-0807-NS01 ACASrvSSL[8297]: child 8297 terminated
Jan 22 14:34:56 L-DX-0807-NS01 named[3825]: client 222.72.227.243#38110: updating zone 'XXXXXX.com/IN': update unsuccessful: lk049.XXXXXX.com/A: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)
Jan 22 14:35:12 L-DX-0807-NS01 named[3825]: client 222.72.227.243#38144: update 'XXXXXX.com/IN' denied
Jan 22 14:36:02 L-DX-0807-NS01 named[3825]: client 221.201.9.180#41037: update 'XXXXXX.com/IN' denied
Jan 22 14:47:10 L-DX-0807-NS01 named[3825]: client 222.72.227.243#39038: update 'XXXXXX.com/IN' denied
Jan 22 14:48:49 L-DX-0807-NS01 kernel: tg3: eth0: Link is down.
Jan 22 15:04:01 L-DX-0807-NS01 auditd[2122]: Audit daemon rotating log files
Jan 22 15:18:50 L-DX-0807-NS01 kernel: tg3: eth0: Link is up at 100 Mbps, full duplex.
Jan 22 15:18:50 L-DX-0807-NS01 kernel: tg3: eth0: Flow control is off for TX and off for RX.

[ 本帖最后由 superarmy 于 2009-1-22 17:05 编辑 ]

ynchnluiti

client 119.113.156.173#55083: update 'XXXXXX.com/IN' denied
是什么意思

superarmy

update denied,应该是别的dns想从这台服务器更新数据但是没有权限被拒绝了吧

wangpeng18

看看DNS同步文件是不是有DNS的同步

ynchnluiti

原帖由 superarmy 于 2009-1-22 17:57 发表
update denied,应该是别的dns想从这台服务器更新数据但是没有权限被拒绝了吧

噢。谢谢

changzi100

没看出什么来，关注一下！

kns1024wh

有异常的访问，进行iptables的connlimit的限制

emmoblin

呵呵，版主把签名换拉？真快阿