[問題] 請問這是不是DOS攻擊?
大家好
想請問一下以下症狀是不是DOS攻擊
1. 提供的服務每天下午五點開始就會爆炸
周末的話是下午三點開始爆炸
用nload看會發現100M的流量幾乎被占滿了,
用netstat看會發現來幾個IP的連線數量少部分有 5~6個 多的時候20個
來自西雅圖,但就算把那個ip給drop掉,流量還是被占滿
2. 用hinet pppoe 固定IP連線 以太網路線一插上去馬上飆到100M/s
用隨機IP就沒事
3. 初步防護
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25565 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 8123 -m state --state NEW -m limit
--limit 1/second -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -L
請問有沒有什麼工具可以看到哪個IP的流量的
找了很久但是由於LINUX新手覺得有點痛苦
流量暴增的時候
nethogs也沒查到什麼奇怪的流量 都<1M/s
就只有用nload會發現RX 被占滿
4. 先把乙太網路拔了,插回去重新撥號
流量暴增時
用netstat看連線數 沒有可疑IP 都是本機連線
請問依照我的iptables還有什麼攻擊是危險的?
上來問的原因是
都找不到哪個IP OR 程式的流量很奇怪
覺得苦惱,做了很多功課,資質魯鈍
才上來請教 謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.165.113.84
※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1463408032.A.7A2.html
※ 編輯: tonylo2ooo (118.165.113.84), 05/16/2016 22:18:08
推
05/16 23:05, , 1F
05/16 23:05, 1F
→
05/16 23:05, , 2F
05/16 23:05, 2F
推
05/17 01:32, , 3F
05/17 01:32, 3F
→
05/17 01:39, , 4F
05/17 01:39, 4F
推
05/17 10:00, , 5F
05/17 10:00, 5F
→
05/17 12:47, , 6F
05/17 12:47, 6F
→
05/17 12:49, , 7F
05/17 12:49, 7F
→
05/17 19:04, , 8F
05/17 19:04, 8F
推
05/17 19:50, , 9F
05/17 19:50, 9F
→
05/17 19:50, , 10F
05/17 19:50, 10F
推
05/18 01:26, , 11F
05/18 01:26, 11F
→
05/18 01:26, , 12F
05/18 01:26, 12F
推
05/18 09:57, , 13F
05/18 09:57, 13F
是阿 開minecraft server
http://mcfallout.net
要去哪裡檢查後門程式阿, htop觀察嗎
之前好像有覺得怪的程式 每個拿去google好像都正常
一般來說後門會用root執行對吧? 有沒有類似的教戰守策推薦閱讀的
謝謝
server方面
換了IP跟port,跟登入用的帳密目前正常了
打算改換key登入
※ 編輯: tonylo2ooo (118.165.6.98), 05/18/2016 22:56:22
推
05/18 23:02, , 14F
05/18 23:02, 14F
→
05/18 23:02, , 15F
05/18 23:02, 15F
謝謝大家的指教,問題似乎解決了!
※ 編輯: tonylo2ooo (118.165.6.98), 05/19/2016 09:24:46