论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2005-01-25 21:55 |只看该作者 |倒序浏览

Redhat 9。0 用iptables写的nat一直用的很正常后来有一天，服务器变得巨慢

我查看了一下/proc/net/ip_conntrack文件如下
[root@YinZuo root]# more /proc/net/ip_conntrack
tcp    6 430419 ESTABLISHED src=192.168.10.79 dst=72.20.30.198 sport=917 dport=504 [UNREPLIED] src=72.20.30.1
98 dst=211.98.84.54 sport=504 dport=917 use=1
tcp    6 430405 ESTABLISHED src=192.168.10.186 dst=72.20.30.198 sport=147 dport=109 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=109 dport=147 use=1
tcp    6 430386 ESTABLISHED src=192.168.10.103 dst=72.20.30.198 sport=22 dport=36 [UNREPLIED] src=72.20.30.19
8 dst=211.98.84.54 sport=36 dport=22 use=1
tcp    6 428732 ESTABLISHED src=192.168.10.112 dst=72.20.30.198 sport=796 dport=412 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=412 dport=796 use=1
tcp    6 428710 ESTABLISHED src=192.168.10.171 dst=72.20.30.198 sport=761 dport=668 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=668 dport=761 use=1
tcp    6 428701 ESTABLISHED src=192.168.10.129 dst=72.20.30.198 sport=931 dport=482 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=482 dport=931 use=1
tcp    6 428709 ESTABLISHED src=192.168.10.65 dst=72.20.30.198 sport=196 dport=69 [UNREPLIED] src=72.20.30.19
8 dst=211.98.84.54 sport=69 dport=196 use=1
tcp    6 428695 ESTABLISHED src=192.168.10.87 dst=72.20.30.198 sport=6 dport=56 [UNREPLIED] src=72.20.30.198
dst=211.98.84.54 sport=56 dport=6 use=1
tcp    6 428631 ESTABLISHED src=192.168.10.207 dst=72.20.30.198 sport=525 dport=705 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=705 dport=525 use=1
tcp    6 428618 ESTABLISHED src=192.168.10.201 dst=72.20.30.198 sport=395 dport=852 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=852 dport=395 use=1
tcp    6 428505 ESTABLISHED src=192.168.10.69 dst=72.20.30.198 sport=775 dport=441 [UNREPLIED] src=72.20.30.1
98 dst=211.98.84.54 sport=441 dport=775 use=1
tcp    6 428449 ESTABLISHED src=192.168.10.20 dst=72.20.30.198 sport=496 dport=953 [UNREPLIED] src=72.20.30.1
98 dst=211.98.84.54 sport=953 dport=496 use=1
tcp    6 428420 ESTABLISHED src=192.168.10.106 dst=72.20.30.198 sport=27 dport=254 [UNREPLIED] src=72.20.30.1
98 dst=211.98.84.54 sport=254 dport=27 use=1
tcp    6 428415 ESTABLISHED src=192.168.10.129 dst=72.20.30.198 sport=259 dport=790 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=790 dport=259 use=1
tcp    6 428412 ESTABLISHED src=192.168.10.186 dst=72.20.30.198 sport=482 dport=980 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=980 dport=482 use=1
tcp    6 428392 ESTABLISHED src=192.168.10.157 dst=72.20.30.198 sport=855 dport=340 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=340 dport=855 use=1
tcp    6 428721 ESTABLISHED src=192.168.10.89 dst=72.20.30.198 sport=476 dport=999 [UNREPLIED] src=72.20.30.1
98 dst=211.98.84.54 sport=999 dport=476 use=1
tcp    6 428600 ESTABLISHED src=192.168.10.190 dst=72.20.30.198 sport=791 dport=408 [UNREPLIED] src=72.20.30.
198 dst=211.98.84.54 sport=408 dport=791 use=1
tcp    6 428542 ESTABLISHED src=192.168.10.21 dst=72.20.30.198 sport=768 dport=423 [UNREPLIED] src=72.20.30.1
98 dst=211.98.84.54 sport=423 dport=768 use=1
tcp    6 428582 ESTABLISHED src=192.168.10.1 dst=72.20.30.198 sport=73 dport=218 [UNREPLIED] src=72.20.30.198
dst=211.98.84.54 sport=218 dport=73 use=1
tcp    6 428558 ESTABLISHED src=192.168.10.13 dst=72.20.30.198 sport=173 dport=104 [UNREPLIED] src=72.20.30.1
--More--(0%)

文库|博客

lirongwei

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2005-01-25 22:01 |只看该作者

谁见过这样的网络事故？

内网有一个网段（192.168.10.X/24）的所有ip几乎都访问一个公网地址
并且目标端口在1024以下

这个现象的结果是所有的nat 链背占满了，其他用户无法正常上网。

查看了几个内网的用户并没有中毒，这个原ip可能都是假的。

不知如何下手，

请高手指点！！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lirongwei

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2005-01-25 22:07 |只看该作者

谁见过这样的网络事故？

是Dos 还是DDos or 。。。。。。。？
那个公网ip我用iptables屏蔽过但是故障依旧！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

pcstart

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2005-01-26 00:52 |只看该作者

谁见过这样的网络事故？

我也不知道关注中

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lirongwei

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2005-01-27 11:58 |只看该作者

谁见过这样的网络事故？

我等！！！！！！！！！！！！！！！！！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

双眼皮的猪

小富即安

论坛徽章:: 0

6楼 [报告]

发表于 2005-01-27 12:51 |只看该作者

谁见过这样的网络事故？

看看unreplied的连接有多少...有可能是内网有人在扫描外网服务器...

我整个脚本你执行一下：

cat /proc/net/ip_conntrack | grep “UNREP” | awk -F= {' print $2 '} | awk {' print $1 '} | sort | uniq -c | sort

复制代码

呵呵，目的是查看unreplied的tcp连接...
如果太多的话，有可能是
1 内网有人扫描外网服务器
2 病毒SYN扫描...

你的nat链满了是什么意思？是nat满了？还是连接跟踪满了？
算了，写个脚本把unreplied的非法连接数过多的ip找出来...
对应/proc/net/arp表,把该ip对应的mac地址找出来..
用iptables的mac扩展模块封掉...

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lirongwei

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2005-01-27 14:42 |只看该作者

谁见过这样的网络事故？

应该是连接跟踪满了，日志里看到的！我把ip_conntrack这个文件复制到其他目录，这个文件已经达到800多兆了！现在我的解决办法是把10网段的线拔掉了！接上又会慢下来！以至于全网不能上网！

谢谢！！双眼皮的猪

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

双眼皮的猪

小富即安

论坛徽章:: 0

8楼 [报告]

发表于 2005-01-27 14:58 |只看该作者

谁见过这样的网络事故？

恩,不客气

这个文件到800多M？天...
我倒不清楚有没那么大...你们那里多大的网段啊...
按照我说的做...
(1)检查unreplied连接过的ip,我用的150,超过了算病毒
(2)封掉该ip,也可以封掉该ip的mac地址
(3)定期清理已经unreplied变小到150以内的ip,免得人家杀了毒还上不了
(4)修改ip_conntrack_max文件,定义大一些,根据你的服务器硬件类型来定义

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lirongwei

白手起家

论坛徽章:: 0

9楼 [报告]

发表于 2005-01-27 15:37 |只看该作者

谁见过这样的网络事故？

10网段的ip基本都有过这样的连接，而且我查过几个客户端，没有病毒！

这个原ip我相信都是假的！但肯定在10网段，我拔下10网段的线就正常了！

对了，我维护的网络有800多台电脑，是一个小区！

分了8个网段！
10网段的用户最多！

以前用cisco2621路由器！网络使用量到高峰时（下午6、7点吧）。路由器总重启！后来买了一台hp服务器，用iptables写的代理脚步，一直用的很正常，就前天！

我想如果是病毒的话，其实他变相的攻击了我的服务器！（或者是直接的）

另外：(1)检查unreplied连接过的ip,我用的150,超过了算病毒。。这句话我没读懂。

谢谢您的热心！！！！