問個網絡吞吐量的問題

oxy

服務器是IBM的Xseries,安裝的是RHEL 4U4，內網和外網都使用千兆網卡，内存是2G，用iptables NAT的方法提供給用戶上網。
但最近有些用戶中了木馬，拼命向外網的某個不存在的IP發UDP包，LOG 如下：
Jul  9 14:16:04 localhost kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=*.*.*.* DST=83.170.93.44 LEN=1052 TOS=0x00 PREC=0x00 TTL=126 ID=27862 PROTO=UDP SPT=1692 DPT=422 LEN=1032
Jul  9 14:17:24 localhost kernel: IPT FORWARD packet died: IN=eth1 OUT=eth2 SRC=*.*.*.* DST=83.170.93.44 LEN=1052 TOS=0x00 PREC=0x00 TTL=126 ID=27716 PROTO=UDP SPT=1725 DPT=422 LEN=1032

但是在網絡監測上看到該用戶只是占用了80M的內網帶寬，但是其他內網的用戶連Ping都Ping不通這台服務器，發生問題的時候系統的CPU和内存佔用率很低，想知道千兆的網卡是否真的無法處理80M的UDP流量？

ljily000

原帖由 oxy 于 2008-7-11 16:37 发表
服務器是IBM的Xseries,安裝的是RHEL 4U4，內網和外網都使用千兆網卡，内存是2G，用iptables NAT的方法提供給用戶上網。
但最近有些用戶中了木馬，拼命向外網的某個不存在的IP發UDP包，LOG 如下：
Jul  9 14:1 ...

估计这个SRC或者DST是伪造的哦。

PS：ping不通不表示这台主机不存在，还是可能通讯的哦。

ljily000

用iptraf看看

:wink:

oxy

SCR是真的內網用戶IP（這個當時驗證過），但dst就是假的。問題不單是ping不通服務器，是使用這台服務器上網的所有用戶全部都斷網了。

oxy

當時就立刻用IPTRAF看了，全都是UDP，其他的連接都建立不起來。

ahsiao

先杀病毒吧。

ljily000

局域网内是否有洪流病毒