请教一个网络流量的问题

murmur

我们公司的内网现在有台机器中毒了  往网关发包20m/s  公司的网关是linux (CentOS)  用iptables控制某些ip访问外网

以前也碰到过这样的问题 但是中毒的机器都是可以访问外网的 所以看iptables得数据统计就能看出来那个电脑中毒

但是现在中毒的机器是不能访问外网的 在iptables里体现不出来

请问各位 我有什么办法可以找出来这台中毒的机器？ 谢谢~

ssffzz1

你怎么知道中毒的机器向网关法的流量是20M。

pangty

先用netstat -an看看当前的连接有无异常，还可以在网关上用tcpdump抓包看看，如果是中毒的话一般都可以看到规律的。

murmur

原帖由 ssffzz1 于 2007-5-30 09:01 发表于 2楼  
你怎么知道中毒的机器向网关法的流量是20M。

网关上有Mrtg 所有能看到~

murmur

原帖由 pangty 于 2007-5-30 09:22 发表于 3楼  
先用netstat -an看看当前的连接有无异常，还可以在网关上用tcpdump抓包看看，如果是中毒的话一般都可以看到规律的。

麻烦说下具体操作好吗 ？ tcpdump我不是太熟悉 应该抓什么类型的包 我怕运行tcpdump时 数据的数量大 把shell卡死

evegl

在网关上配一个Ntop 什么都清楚了，记得还有一个小软件，连各种协议都能区分出来，名字记不起来了。

jianasonic

tcpdump arp -i eth(内网网卡)

murmur

呵呵 谢谢各位热心的兄弟~

急不通

iptables -I FORWARD -s  custIP  -j LOG……
就可以把用户的流量记录下来了。他虽然不能上外网，但是只要在屏蔽他上外网的规则之前插入上面的规则，还是可以记录他发出的流量

murmur

原帖由 急不通 于 2007-5-31 09:42 发表于 10楼  
iptables -I FORWARD -s  custIP  -j LOG……
就可以把用户的流量记录下来了。他虽然不能上外网，但是只要在屏蔽他上外网的规则之前插入上面的规则，还是可以记录他发出的流量

谢谢你指教

但是我现在的问题是不知道这ip  我得目的是要查出来这个ip阿~