论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2012-02-15 16:33 |只看该作者 |倒序浏览

本帖最后由 xukui44 于 2012-02-15 16:37 编辑

我们有一台debina 5.0的系统，运行的nginx+php等等，跑了几十个php的网站

最近出现了一个问题，服务器疯狂像外发包，貌似是在ddos攻击别人，抓包发现这些数据都是使用udp连接目标地址的80，或者53等常见端口，每次把服务器的带宽完全占完。但只要把php重启下（php是cgi模式运行的）重启下，流量马上就下来了，攻击程序应该是php-ddos，重启php的时候，程序被迫停止掉了，流量也就下来了。

在网上查了下资料，很多类似的php-ddos的程序，有的甚至只有一个php的页面，上传到服务器后，访问这个页面，只要写入要攻击的ip地址，端口，时间，就开始攻击了。。我们的这台服务器，应该就是这样类似的模式。

目前使用iptables不允许服务器向外发送udp数据包（这是没有办法的办法），但这个不长久之计，虽然数据包发送不出去了，但是发包程序还在工作，导致服务器的负载非常高，常常出现负载过高而宕机。

请教大家，如何能查出来是那个页面在发送数据包？或者有什么办法，彻底解决这个问题？