文档章节

Linux服务器发包

leolan
 leolan
发布于 2016/10/24 23:00
字数 1041
阅读 4
收藏 0
点赞 0
评论 0
关于服务器网络流量异常,卡死,遭受入侵,对外发包...
以下只是一些小工具,用于检测流量及哪些进程有问题,需要丰富的经验配合。

yum install ifstat nload iptraf sysstat
大多数是因为PHP-ddos木马原因导致发包

watch ifconfig -------------查看数据包新增情况
ifstat ----查看网卡流量
       eth0                eth1       
 KB/s in  KB/s out   KB/s in  KB/s out
  407.34    154.99    134.96    324.29
  274.08    191.48    210.72    248.32
  240.20    192.91    257.22    179.06
  136.48    236.72    203.89    179.84

nload -------以流量图显示

iptraf ------------很直观的工具

sar -n DEV 1 4 查看4次数据
[root@ct-nat ~]#  sar -n DEV 1 4
Linux 2.6.18-164.el5PAE (ct-nat)        06/05/2014

02:20:38 PM     IFACE   rxpck/s   txpck/s   rxbyt/s   txbyt/s   rxcmp/s   txcmp/s  rxmcst/s
02:20:39 PM        lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00
02:20:39 PM      eth0    855.10    290.82 832319.39 140028.57      0.00      0.00      0.00


netstat -tu -c 查看发包的端口
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 124.1.1.68:49995          218.66.170.184:10991        ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:41077  ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:42562  ESTABLISHED 
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 124.1.1.68:49995          218.66.170.184:10991        ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:41077  ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:42562  ESTABLISHED 

用  lsof -i :39733 查看端口的进程,Kill就可以了

一篇博客的解决办法:
从服务器上使用命令sar -n DEV 1 4 ,确实出现大量发包的问题,(下边是正常的,异常的情况eth0txpck/s 10000左右了)

先进行限速或者拔掉网线:
开始之前,先要清除 eth0所有队列规则
tc qdisc del dev eth0 root 2> /dev/null > /dev/null

1) 定义最顶层(根)队列规则,并指定 default 类别编号
tc qdisc add dev eth0 root handle 1: htb default 20
tc class add dev eth0 parent 1: classid 1:20 htb rate 2000kbit
(1KB/s = 8KBit/s)

TC命令格式:
tc qdisc [ add | change | replace | link ] dev DEV [ parent qdisc-id | root ] [ handle qdisc-id ] qdisc [ qdisc specific parameters ]

tc class [ add | change | replace ] dev DEV parent qdisc-id [ classid class-id ] qdisc [ qdisc specific parameters ]

tc filter [ add | change | replace ] dev DEV [ parent qdisc-id | root ] protocol protocol prio priority filtertype [ filtertype specific parameters ] flowid flow-id

显示
tc [-s | -d ] qdisc show [ dev DEV ]
tc [-s | -d ] class show dev DEV tc filter show dev DEV

查看TC的状态
tc -s -d qdisc show dev eth0
tc -s -d class show dev eth0

删除tc规则
tc qdisc del dev eth0 root

查看状态:
top
CPU和MEM都正常,看不出异常的进程。

yum install -y tcpdump
tcpdump -nn
找到大量的IP地址

本机(192.168.35.145)和主机114.114.110.110之间的数据
tcpdump -n -i eth0 host 192.168.35.145 and 114.114.110.110
还有截取全部进入服务器的数据可以使用以下的格式
tcpdump -n -i eth0 dst 192.168.35.145

或者服务器有多个IP 可以使用参数
tcpdump -n -i eth0 dst 192.168.35.145  or  192.168.35.155

我们抓取全部进入服务器的TCP数据包使用以下的格式,大家可以参考下
tcpdump -n -i eth0 dst 192.168.35.145 or 192.168.35.155 and tcp

从本机出去的数据包
tcpdump -n -i eth0 src 192.168.35.145 or 192.168.35.155
tcpdump -n -i eth0 src 192.168.35.145 or 192.168.35.155 and port ! 22 and tcp
或者可以条件可以是or  和 and  配合使用即可筛选出更好的结果。

可以将异常IP加入到/etc/hosts.deny中,或者防火墙设置下

NetHogs 查看网络使用情况
wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -Uvh epel-release-6-8.noarch.rpm
yum clean all
yum makecache
yum install nethogs -y
nethogs

下图显示各进程当前网络使用情况:

按“m”键可以切换到统计视图,显示各进程总的网络使用情况

使用帮助:
    [root@localhost ~]# nethogs --help  
    usage: nethogs [-V] [-b] [-d seconds] [-t] [-p] [device [device [device ...]]]  
            -V : 显示版本信息,注意是大写字母V.  
            -d : 延迟更新刷新速率,以秒为单位。默认值为 1.  
            -t : 跟踪模式.  
            -b : bug 狩猎模式 — — 意味着跟踪模式.  
            -p : 混合模式(不推荐).  
            设备 : 要监视的设备名称. 默认为 eth0  
    当 nethogs 运行时, 按:  
     q: 退出  
     m: 总数和当前使用情况模式之间切换  
找到大量发包的进程,之后kill掉,再排查下这个进程是什么程序,文件路径在哪里,删除掉异常的文件。



个人学习笔记,不当之处还请指正。
----------不定期更新------------


本文转载自:http://blog.csdn.net/lan842632/article/details/52843345

共有 人打赏支持
leolan
粉丝 1
博文 42
码字总数 42
作品 0
梅州
linux环境下glassfish的ejb访问问题

我在linux上和windows7下各部署了一套glassfish,jdk,glassfish,和部署的应用均相同。 但是在远程客户端上访问windows下的ejb成功而访问linux时在lookup卡死,通过网络抓包可以看到在访问时...

astl
04/18
0
0
kangle web server源代码安装简明教程

首先到kangle官方网站上下载最新的源代码。一般我们会得到kangle-x.y.z.tar.gz(x,y,z是版本号) wget http://www.kanglesoft.com/download/zcore.php?os=src前提条件: 请先确保你的系统上有g...

keengo
2011/08/20
0
0
kinect+java3d+robot开发备忘录

开发kinect也有一阵子了,虽然一直在做硬件交互方面的工作,也没有做个像样的应用出来,但好歹还是构建了一套系统可以让小朋友们可以和机器人激情互动 整个系统的配置和启动比较繁琐 一 kine...

zjhsdtc
2013/04/06
0
0
sfewfesfs病毒,你中了么?

本文作者: Kin 本文标题: sfewfesfs病毒,你中了么? 本文地址: http://www.jinlijun.com/sfewfesfs.html 本文标签: linux病毒, sfewfesfs, 暴力破解 尼玛!Linux都会中毒?可不是么,这...

大道无形
2014/10/21
0
0
RaySync 传输协议的有效带宽利用率分析介绍

最近在评论区收到不少朋友反应RaySync FTP文件传输的效果挺好,谢谢大家的鼓励。也有部分熟悉技术的同学希望介绍下原理,有部分同学咨询RaySync传输协议会不会是通过超量发包来达到快速传输,...

云语科技
04/14
0
0
Oracle VM VirtualBox - Linux 配置

1、Linux安装的磁盘选择 IDE 模式。 2、Linux的开发包及核心开发工具包要安装全,便于Oracle VM的增强功能安装。 3、挂载 Oracle VM 共享的文件夹,命令格式如下: mount -t vboxsf [Oracle ...

LvCreator
2014/04/15
0
0
【转】Msys/MinGW与Cygwin/gcc

一 MinGW MinGW 官方网站为 http://www.mingw.org/ MinGW,即 Minimalist GNU For Windows(GCC compiler suite)。它是一些头文件和端口库的集合,该集合允许人们在没有第三方动态链接库的情...

mj4738
2012/01/21
0
1
Fedora 8 linux下编译android 1.5 SDK

昏天暗地的花了两天时间, 终于在Fedora 8 上成功编译了android 1.5, 和大家分享一下编译的经验:) 一 准备编译环境 Fedora 8 已经包含了编译android 时所需的大部分开发包, 我们还需要安装git...

wormsun
2014/03/19
0
0
9个常用iptables配置实例

iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。咋一看iptables的配置很复杂,掌握规律后,其实用iptables完成指定任务并不难,下面我们通过具体实例,学习iptables的详细...

shezjl
2015/06/26
0
0
ubuntu jeos7.1安装rails mysql

首先要按装好ruby,gem。 1-rails sudo gem install rails --include-dependencies 2-libssl,rails需要【不知是否与3必须同时执行】 sudo apt-get install openssl sudo apt-get install ......

roockee
2012/01/10
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

sklearn学习笔记之简单线性回归

简单线性回归 线性回归是数据挖掘中的基础算法之一,从某种意义上来说,在学习函数的时候已经开始接触线性回归了,只不过那时候并没有涉及到误差项。线性回归的思想其实就是解一组方程,得到...

wangxuwei
6分钟前
0
0
feign之动态interceptor(二)

背景 上文提到了按照不同的feignClient可以根据多个不同的key来进行多个不同的bean的配置 那么我们如何完成多个interceptor的配置呢? 分析 我们刚提到多个配置的玄机就在FeignClientProper...

Mr_Qi
8分钟前
1
0
Linux Kernel 4.16 系列停止维护,用户应升级至 4.17

知名 Linux 内核维护人员兼开发人员 Greg Kroah-Hartman 近日在发布 4.16.18 版本的同时,宣布这是 4.16 系列的最后一个维护版本,强烈建议用户立即升级至 4.17 系列。 Linux 4.16 于 2018 年...

问题终结者
32分钟前
0
0
Apache配置时.htaccess失效不起作用的原因分析

.htaccess 失效的原因 1. 重写规则有问题,检查自己的重写规则 2.Apache配置问题,配置中没有配置启用 rewrite a2enmod rewrite 3.网站配置文件没有启用配置需要配置 000-default.conf <Dire...

TU-DESGIN
53分钟前
1
0
两个求最大公约数C/C++算法实现

#include<stdio.h> #include<time.h> #include <iostream>using namespace std;//求最大公约数 LCD(Largest Common Division)//短除法 //m=8251, n=6105; int LCD_ShortDiv(int m, ......

失落的艺术
58分钟前
1
0
QueryPerformanceCounter

windows的Sleep函数,睡眠线程指定毫秒数,可以用来做毫秒延时。 对于微秒延时,没有一个现成的函数,但是可以通过 QueryPerformanceFrequency QueryPerformanceCounter 来间接实现。原理就是...

开飞色
今天
1
0
log4j2使用AsyncRoot不显示行号问题处理

<AsyncRoot level="info" includeLocation="true"> <AppenderRef ref="File"/></AsyncRoot><!--1.异步logger,还需要在pom.xml中添加disruptor的依赖。2.includeLocation结合异......

小翔
今天
3
0
安卓手机上 K 歌,声音延迟怎么解决?

这篇文章可以为你提供一个解决录音和播放同步问题的思路,而且解决了声音从手机传输到耳机上有延时的问题。 初识音频 在开始之前,我先简单介绍一下音频相关的基础知识,方便下文理解。 我们...

编辑部的故事
今天
2
0
使用token实现在有效期内APP自动登录功能

使用token实现在有效期内APP自动登录功能 http://sevennight.cc/2016/07/19/auto_login_impl.html

风云海滩
今天
3
0
Spring Boot集成RabbitMQ发送接收JSON

默认情况下RabbitMQ发送的消息是转换为字节码,这里介绍一下如何发送JSON数据。 ObjectMapper 最简单发送JSON数据的方式是把对象使用ObjectMapper等JSON工具类把对象转换为JSON格式,然后发送...

小致dad
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部