關于linux大量發(fā)送udp包

HH106

有臺linux服務器,提供web服務
但最近發(fā)現(xiàn)網(wǎng)絡流量大增，超過了百兆網(wǎng)卡的最大流量，導致網(wǎng)站訪問不了
檢查發(fā)現(xiàn)服務器在向某個IP發(fā)送大量UDP包，包比較大（已經(jīng)用紅色標出），暫時只有用iptables阻擋向外發(fā)送udp包, 用iptables記錄日志如下

查看cron里面空的，ps進程也沒有可疑進程
我想了解下是由什么程序發(fā)送出去的?怎么樣查看?謝謝

Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13191 PROTO=UDP SPT=15086 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13192 PROTO=UDP SPT=9926 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13193 PROTO=UDP SPT=58928 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13194 PROTO=UDP SPT=2346 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13195 PROTO=UDP SPT=9369 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13196 PROTO=UDP SPT=17700 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13197 PROTO=UDP SPT=12052 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13198 PROTO=UDP SPT=47072 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13199 PROTO=UDP SPT=11885 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13200 PROTO=UDP SPT=51187 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13201 PROTO=UDP SPT=58138 DPT=80 LEN=8200

ssffzz1

帖服務器的ifconfig

hh106

回復 2# ssffzz1

1. [root@localhost ~]# ifconfig
   
2. eth1      Link encap:Ethernet  HWaddr 00:24:8C:6B:E3:C4
   
3.           inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
   
4.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
   
5.           RX packets:98322432 errors:0 dropped:0 overruns:0 frame:0
   
6.           TX packets:106270701 errors:0 dropped:0 overruns:0 carrier:0
   
7.           collisions:0 txqueuelen:100
   
8.           RX bytes:283952451 (270.7 MiB)  TX bytes:4038438113 (3.7 GiB)
   
9.           Memory:fbde0000-fbe00000
   
10. 
    
11. 
    
12. lo        Link encap:Local Loopback
    
13.           inet addr:127.0.0.1  Mask:255.0.0.0
    
14.           UP LOOPBACK RUNNING  MTU:16436  Metric:1
    
15.           RX packets:406202 errors:0 dropped:0 overruns:0 frame:0
    
16.           TX packets:406202 errors:0 dropped:0 overruns:0 carrier:0
    
17.           collisions:0 txqueuelen:0
    
18.           RX bytes:126681307 (120.8 MiB)  TX bytes:126681307 (120.8 MiB)

復制代碼

HH106

回復 2# ssffzz1


    這臺服務器只有內網(wǎng),用做www服務，前端有反向代理

ssffzz1

你停掉iptables抓幾分鐘的包上來。

然后帖iptables-save