我們注意到,我們的幾台 ubuntu 伺服器正在向我們無法識別的 IP 發送大量 udp 流量。伺服器會被感染嗎?我們怎樣才能知道呢?伺服器上安裝了 postfix。這些機器上唯一開放的連接埠是 smtp 和 pop3。
答案1
UDP 用於多種服務。如果僅開啟 SMTP 和 POP3,則不應有 UDP 流量。我假設您在 TCP 和 UDP 上也開啟了 DNS。大量流量是一個相當不精確的衡量標準。是你的流量或頻寬的 1%,還是 90%。
如果您允許傳入電子郵件,我會假設您也執行某種郵件掃描軟體。這應該會產生相當數量的 DNS 查找。因此,建議您在主機上執行快取 DNS 伺服器。一些其他資源也使用 UDP 來識別垃圾郵件。
該指令sudo netstat -anp | grep udp | grep less將列出使用 UDP 的連線和相關程序。這可能有助於識別流量的來源。重複該命令sudo netstat -anp | grep udp | grep EST | less幾次可以讓您知道這是否是一個持續的連接。
您可以使用tcpdump它來檢查流量並確定正在傳遞的資料類型。這將使您了解流量是否合法。
您可以使用的另一個工具是ntop按協定和主機匯總流量。它可以讓您了解正在經過的交通情況。
您可以在 中插入阻止規則iptables。這可以按 IP 位址、協定或協定和連接埠阻止流量。如果流量合法,請準備好快速刪除規則。