關(guān)于linux向外大量發(fā)送udp包

HH106

有臺(tái)linux服務(wù)器,提供web服務(wù)
但最近發(fā)現(xiàn)網(wǎng)絡(luò)流量大增，超過(guò)了百兆網(wǎng)卡的最大流量，導(dǎo)致網(wǎng)站訪問(wèn)不了
檢查發(fā)現(xiàn)服務(wù)器在向某個(gè)IP發(fā)送大量UDP包，包比較大（已經(jīng)用紅色標(biāo)出），用iptables記錄日志如下

查看cron里面空的，ps進(jìn)程也沒(méi)有可疑進(jìn)程
我想了解下是由什么程序發(fā)送出去的?怎么樣查看?謝謝

Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13191 PROTO=UDP SPT=15086 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13192 PROTO=UDP SPT=9926 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13193 PROTO=UDP SPT=58928 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13194 PROTO=UDP SPT=2346 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13195 PROTO=UDP SPT=9369 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13196 PROTO=UDP SPT=17700 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13197 PROTO=UDP SPT=12052 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13198 PROTO=UDP SPT=47072 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13199 PROTO=UDP SPT=11885 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13200 PROTO=UDP SPT=51187 DPT=80 LEN=8200
Nov 20 00:58:19 localhost kernel: IN= OUT=eth1 SRC=192.168.1.100 DST=67.21.86.33 LEN=8220 TOS=0x00 PREC=0x00 TTL=64 ID=13201 PROTO=UDP SPT=58138 DPT=80 LEN=8200

gaius_julius

blue_stone

tcpdump, 看看發(fā)送的到底是些什么東西.
lsof 看看那個(gè)程序打開(kāi)了對(duì)應(yīng)的udp端口.

marsaber

大量數(shù)據(jù)包發(fā)到對(duì)方的80端口哦，莫非這就是傳說(shuō)中的肉雞？

jerrywjl

我覺(jué)得用netstat -nlp應(yīng)該可以看出來(lái)。

Yuri.G.

汗，怎么還是UDP的？

wellwong

被人當(dāng)肉雞DDOS出去的流量，netstat -tunpl可以看看哪個(gè)進(jìn)程

版主殺手

是不是后臺(tái)進(jìn)程運(yùn)行的 看后臺(tái)任務(wù):jobs

HH106

回復(fù) 3# blue_stone


    謝謝，我先用試下，有結(jié)果再來(lái)回復(fù)

shengma_cu

我的系統(tǒng)也是這樣,系統(tǒng)向外大量發(fā)UDP包,流量達(dá)400M.

檢查是因PHP-CGI引起,KILL 掉PHP-CGI進(jìn)程,流量馬上下來(lái).