우리는 몇몇 우분투 서버가 우리가 인식하지 못하는 IP로 엄청난 양의 UDP 트래픽을 보내고 있음을 발견했습니다. 서버가 감염되었을 수 있나요? 어떻게 알 수 있나요? 서버에는 postfix가 설치되어 있습니다. 이 시스템에서 열려 있는 유일한 포트는 smtp와 pop3입니다.
답변1
UDP는 다양한 서비스에 사용됩니다. SMTP 및 POP3만 열려 있는 경우 UDP 트래픽이 없어야 합니다. TCP와 UDP 모두에서 DNS가 열려 있다고 가정합니다. 엄청난 양의 트래픽은 다소 부정확한 측정입니다. 트래픽이나 대역폭의 1%입니까, 아니면 90%입니까?
이메일 수신을 허용한다면 일종의 메일 검색 소프트웨어도 실행하고 있다고 가정하겠습니다. 이렇게 하면 상당한 수의 DNS 조회가 생성됩니다. 이러한 이유로 호스트에서 캐싱 DNS 서버를 실행하는 것이 좋습니다. UDP는 스팸을 식별하는 데 사용되는 다른 리소스에서도 사용됩니다.
이 명령은 sudo netstat -anp | grep udp | grep lessUDP 및 관련 프로그램을 사용하는 연결을 나열합니다. 이는 트래픽 소스를 식별하는 데 도움이 될 수 있습니다. 명령을 sudo netstat -anp | grep udp | grep EST | less몇 번 반복하면 연결이 진행 중인지 알 수 있습니다.
tcpdump트래픽을 검사하고 어떤 유형의 데이터가 전달되는지 확인하는 데 사용할 수 있습니다 . 이를 통해 트래픽이 합법적인지 여부를 알 수 있습니다.
사용할 수 있는 또 다른 도구는 ntop프로토콜과 호스트별로 트래픽을 요약하는 것입니다. 어떤 트래픽이 지나가는지 알려줄 수 있습니다.
에 차단 규칙을 삽입할 수 있습니다 iptables. 이는 IP 주소, 프로토콜 또는 프로토콜 및 포트별로 트래픽을 차단할 수 있습니다. 트래픽이 합법적인 경우 신속하게 규칙을 제거할 준비를 하십시오.