我有一个家庭 plex 服务器,它运行各种软件并充当各种角色。它运行最新的 Ubuntu,包含所有最新的软件包/更新。大约每 10 天左右,它就会开始对公共 IP 地址进行数据包风暴,然后又遭到风暴。这会完全杀死所有其他网络流量。
我首先尝试检查常见的带宽用户,但是我所拥有的那个盒子上没有任何未评级/无限制的东西。
然后我尝试了 iftop 和其他各种程序(这花了我几次时间,因为发生这种情况时我根本无法使用管道),看看我是否可以跟踪谁在发送流量的过程。 iftop 可以看到流量,但即使 netstat 也没有输出进程 ID。在阅读了几篇关于 NFS 是内核级而没有传统进程 ID 的文章后(我希望这是正确的语言),我认为这可能是 NFS 流量,但无济于事。
最后,我打开了 netgear 交换机镜像,并从另一台计算机捕获了流量。瞧,这是垃圾流量。TCP Dup 一直向下确认。这是一个 8MB 的小片段(4 秒内约 100,000 个数据包)。我捕获了一个更大的 1 分钟捕获文件,但实际上都是一样的。
有什么想法可以追踪到这个坏家伙并/或阻止它吗?小截图如下:http://s000.tinyupload.com/index.php?file_id=45384481152498730142如果您推荐的话,我可以使用其他服务。
对于没有Wireshark的用户,远程TCP连接是46.105.201.50:80。本地端口会变化,但始终在60,000 - 70,000范围内。
谢谢您的帮助!
答案1
听起来好像您的系统上隐藏着 DDoS 工具,或者有人在攻击您。网络定期充斥垃圾数据,而“目的地”会反击?典型。
第一步是在防火墙级别丢弃发往或来自该 IP 地址的数据包。这应该会减少堵塞的管道。然后四处寻找任何可疑的二进制文件/文件。如果找不到,我建议直接烧录操作系统并重新开始。