服务器很大out-bound流量,处理过程记录
这几天发现服务器流量图一直有突然的很大out-bound流量,很是不解。
攻击的话,应该是in-bound也要比较大吧。
从XenCenter看网络流量,看不出哪个占用高了,因为5秒刷新一下,而且流量数据也不是很准。
那就用之前写的网卡当前速度统计脚本吧,修改脚本,设定一个警戒流量,当超过时,把当时情况记录下来。记录下时间和瞬间流量,然后记录下进程列表。试了一下,进程列表看不出异常,想到ip_conntrack,找了好一会儿才想起来这个名,改成记录当时的ip_conntrack,过了一会儿出现记录文件了,有5M多,打开一看1万次的DNS请求,我的妈呀。
由于服务器设定了机房的DNS,所以这1万次DNS请求的流量也会在服务器流量图上。根据机房建议,改/etc/resolv.conf文件,设置dns为本机。
过一会儿,依然有大量本机查询的记录,然后比较平静,因为太晚了。
检查过程中,从/var/log/messages看named的日志时,看到有不大量ftp的失败请求,看上去像暴力猜解,网络真不安全,先装好ssh的denyhosts,发现用来设置ftp的软件没ssh的多,fail2ban是一个,他是通过iptables来屏蔽的,但是又有点想自己写,比较好掌握些。
这个再看吧,先到这里,待续。。。
续:
继续观察,发现大量请求还有udp对别的机器80端口的大量数据包(变成肉鸡了?),很是悲哀,暂时不知道如何查找占用流量的进程,这个udp dport 80用iptables DROP了。目前情绪稳定。
iptraf这个工具比较强大,但是编译出错,以后再看。
分类: 安全
