关于UDP风暴的疑问
运维发现网络异常。
我用ifstat执行了下,基本IN的数据正常,OUT的报文很多。
于是,我先抓包,看报文的结果是这样的。
很多很多的UDP报文,全部是本机往外发的UDP报文。
格式:我的IP和端口A不变,发往不同IP的同一个端口B。
然后停一段时间,再改变A和B端口,再发送大量UDP报文。
其中B端口发现有80端口,443端口,1931端口等。
诡异之处有2:
1 往80端口发送UDP.很奇怪。
2 所有的UDP报文的IP层的ID字段都是0X0000.
以上是从报文分析的结果。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
从进程分析
top命令执行,发现有异常进程。
根据ID进入 cd /proc/进程号
执行ls -al
发现cwd---/xxx/Nutch/src/plugin/....反正是下面的一个文件夹。
杀死这个进程后,网络正常。
请问,这大概是什么问题?
病毒?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(4)
已经附图了:)
如果没猜错的话,udp数据为大量填充的无意义数据,这是很明显的dos攻击,80端口通常会被放行给http使用,但是没有限制tcp还是udp协议,黑客利用80端口开放这一点,使用udp协议来加重服务器负担,造成dos攻击
回复
我也认为是攻击,比如有种攻击是phpddos, 现在的问题是如何证明这一点呢,我不知道怎么做,你知道吗? 服务器是linux
贴一个UDP报文看看