检查我的 iptables 后,我注意到我的服务器发出了 122k 个数据包(16MB)。我不知道这些是什么,因为据我所知,除了服务器上的 DNS(客户端)之外,没有任何服务使用 udp。我有一个邮件服务器,我知道它是通过 dns 和 rbl 大量使用 udp 的用户。
有没有简单的方法来确定我传出的 UDP 流量是否合法?
答案1
多种选择:
- 在您的 iptables 规则中添加一些日志来记录允许的 udp 流量。
- 使用 wireshark 或其他数据包监控工具捕获 UDP 流量并进行分析。a. 这可以在本地计算机上完成,或者
b. 通过在交换机上打开端口镜像并将流量复制到另一个端口,在该端口上运行 wireshark 或类似工具的 PC 正在记录流量。(请参阅 SPAN、RSPAN 等)并查看 - 如果您的服务器连接到路由器,请让路由器记录该主机允许的 udp 流量。或者如果支持,也可以记录 netflow。
- 如果您的服务器连接了防火墙,请让防火墙记录流量,或者如果支持,则记录 netflow。您的防火墙可能已经能够告诉您从服务器建立了哪些连接,而无需打开进一步的日志记录。