Linux下发包处理:
服务器发包就是服务器向外发送数据包,具体表现就是向外流出流量变大。服务器发包很有可能是当前服务器的控制者使用服务器或服务器被当成肉鸡对其他的主机进行数据包攻击。
可以用机房管理系统里ip查询,观察流量图。服务器向外发包时,服务器的流出流量也就是图中的绿色线会偏高,发包大了带宽也会跑满。一般情况下服务器发包,都是服务器被入侵了,成了别人的肉鸡,对其他的主机进行流量攻击。
一.Windows下服务器发包处理:
1.先用工具查询下服务器进程、程序流量,如:Tcpview工具,查出异常发包程序后,结束掉。
2.然后查杀木马、扫描修复下服务器的漏洞。
3.开启防火墙,关闭不用的端口,对服务器做下安全策略。
二.linux下服务器发包处理:
1.首先用tcpducm抓包:
Tcpdump参数说明:
-i 跟上网口 -nn 以ip地址方式显示 -c 表示抓多少个包
Tcp Udp Port 端口号
举例
另外推荐使用iftop工具,观察流量
Iftop工具主要用来显示本机网络流量情况及各相互通信的流量集合,如单独同哪台机器间的流量大小,找到服务器流量发往哪个ip上。
iftop参数讲解:
TX:发送流量 RX:接收流量 TOTAL:总流量
Cumm:运行iftop到目前时间的总流量 peak:流量峰值 rates:分别表示过去2s、10s、40s的平均流量 <= =>表示的是流量的方向。
-i设定监测的网卡,如:# iftop -i eth1
-B 以bytes为单位显示流量(默认是bits),如:# iftop -B
-n使host信息默认直接都显示IP,如:# iftop -n
-N使端口信息默认直接都显示端口号,如: # iftop -N
-F显示特定网段的进出流量,如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0
2.运用iptales命令设置防火墙规则
从抓取的包中分析出向哪个ip地址发包,然后直接阻止向改地址发送数据。
iptables -A OUTPUT -d 目的ip地址 -j DROP
或者:如果是UDP发包,也可以禁止本机对外发送UDP包
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -j DROP
或者只允许本机发送指定端口的包。
例如:
iptables -A OUTPUT -p TCP --sport 22 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 53 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 53 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 80 -j ACCEPT
iptables -A OUTPUT -p TCP -j DROP