Мы заметили, что несколько наших серверов Ubuntu отправляют огромные объемы трафика udp на IP, который мы не узнаем. Может ли сервер быть заражен? Как мы можем это выяснить? На серверах установлен postfix. Единственные открытые порты на этих машинах — smtp и pop3.
решение1
UDP используется для различных служб. Если у вас открыты только SMTP и POP3, у вас не должно быть трафика UDP. Я предполагаю, что у вас также открыт DNS на TCP и UDP. Огромные объемы трафика — это довольно неточная мера. Это 1% вашего трафика или пропускной способности или 90%.
Если вы разрешаете входящую почту, я бы предположил, что вы также используете какое-то программное обеспечение для сканирования почты. Это должно сгенерировать достаточное количество DNS-запросов. По этой причине рекомендуется запустить кэширующий DNS-сервер на хосте. UDP также используется некоторыми другими ресурсами, используемыми для идентификации спама.
Команда sudo netstat -anp | grep udp | grep lessвыведет список подключений, использующих UDP, и соответствующую программу. Это может помочь определить источник трафика. Повторение команды as sudo netstat -anp | grep udp | grep EST | lessнесколько раз может дать вам представление о том, является ли это текущим подключением.
Вы можете использовать tcpdumpдля проверки трафика и определения типа передаваемых данных. Это даст вам представление о том, является ли трафик легитимным.
Другой инструмент, который вы могли бы использовать, это ntopкоторый будет суммировать трафик по протоколу и хосту. Он может дать вам и представление о том, какой трафик проходит.
Вы можете вставить правило блокировки в iptables. Это может блокировать трафик по IP-адресу, протоколу или протоколу и порту. Будьте готовы быстро удалить правило, если трафик является законным.