Linux security 記網路攻擊 首先需要確定是哪一張網卡的帶寬跑滿,可以通過sar n DEV 1 5 命令來獲取網卡級別的流量圖,命令中 1 5 表示每一秒鐘取 1 次值,一共取 5 次。 命令執行後會列出每個網卡這 5 次取值的平均數據,根據實際情況來確定帶寬跑滿的網卡名稱,預設情況下 ...
Linux security
記網路攻擊
首先需要確定是哪一張網卡的帶寬跑滿,可以通過sar -n DEV 1 5 命令來獲取網卡級別的流量圖,命令中 1 5 表示每一秒鐘取 1 次值,一共取 5 次。
命令執行後會列出每個網卡這 5 次取值的平均數據,根據實際情況來確定帶寬跑滿的網卡名稱,預設情況下 eth0 為內網網卡,eth1 為外網網卡。
使用 iftop 工具排查
- 伺服器內部安裝 iftop 流量監控工具:
yum install iftop -y - 運行下麵命令查看指定網卡流量占用情況:
iftop -i eth1 -P
註:-P 參數會將請求服務的埠顯示出來,也就是說是通過伺服器哪個埠建立的連接,看內網流量執行iftop -i eth0 -P命令。 - 確定產生大量網路流量的具體埠和ip地址,當前無固定埠,有固定ip
183.131.18.84 - 如果有固定埠,通過nethogs進行排查
通過iptables屏蔽ip訪問
vim /etc/rc.local修改配置文件,修改後保存,退出重啟伺服器即可。
iptables -I INPUT -s 183.131.18.84 -j DROP # 61.37.81.1的包全部屏蔽 iptables -I INPUT -s 183.131.18.0/24 -j DROP #61.37.81.1到61.37.81.255的訪問全部屏蔽 iptables -I INPUT -s 192.168.1.202 -p tcp --dport 80 -j DROP # 192.168.1.202的80埠的訪問全部屏蔽 iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j DROP #192.168.1.1~192.168.1.1255的80埠的訪問全部屏蔽使用 nethogs 進行排查
- 伺服器內部安裝 nethogs 流量監控工具:
yum install nethogs -y - 通過 nethogs 工具來查看某一網卡上進程級流量信息
假定當前 eth1 網卡跑滿,則執行命令nethogs eth1,在 SEND RECEIVED 兩列可以看到每個進程的網路帶寬情況及進程對應的 PID,在此可以確定到底是什麼進程占用了系統的帶寬。 如果確定是惡意程式,可以通過 kill -TERM
