弊社の Ubuntu サーバーのいくつかが、認識できない IP に大量の UDP トラフィックを送信していることに気付きました。サーバーが感染している可能性はありますか? どうすればわかりますか? サーバーには postfix がインストールされています。これらのマシンで開いているポートは、smtp と pop3 のみです。
答え1
UDP はさまざまなサービスに使用されます。SMTP と POP3 のみが開いている場合、UDP トラフィックは発生しません。TCP と UDP の両方で DNS も開いていると想定します。大量のトラフィックは、かなり不正確な測定です。トラフィックまたは帯域幅の 1% でしょうか、それとも 90% でしょうか。
受信メールを許可している場合は、何らかのメール スキャン ソフトウェアも実行していると思われます。これにより、かなりの数の DNS ルックアップが生成されます。このため、ホスト上でキャッシュ DNS サーバーを実行することをお勧めします。UDP は、スパムを識別するために使用される他のリソースでも使用されます。
このコマンドは、sudo netstat -anp | grep udp | grep lessUDP を使用した接続と関連プログラムを一覧表示します。これは、トラフィックのソースを識別するのに役立ちます。コマンドをsudo netstat -anp | grep udp | grep EST | less数回繰り返すと、これが進行中の接続であるかどうかがわかります。
トラフィックを調べて、渡されるデータの種類を判別するために使用できますtcpdump。これにより、トラフィックが正当であるかどうかがわかります。
使用できるもう 1 つのツールは、ntopプロトコルとホストごとにトラフィックを要約するものです。これにより、どのようなトラフィックが通過しているかを把握できます。
にブロッキング ルールを挿入できますiptables。これにより、IP アドレス、プロトコル、またはプロトコルとポートによってトラフィックをブロックできます。トラフィックが正当な場合は、すぐにルールを削除できるように準備してください。