文档章节

Linux服务器发包

leolan
 leolan
发布于 2016/10/24 23:03
字数 1041
阅读 5
收藏 0
点赞 0
评论 0
关于服务器网络流量异常,卡死,遭受入侵,对外发包...
以下只是一些小工具,用于检测流量及哪些进程有问题,需要丰富的经验配合。

yum install ifstat nload iptraf sysstat
大多数是因为PHP-ddos木马原因导致发包

watch ifconfig -------------查看数据包新增情况
ifstat ----查看网卡流量
       eth0                eth1       
 KB/s in  KB/s out   KB/s in  KB/s out
  407.34    154.99    134.96    324.29
  274.08    191.48    210.72    248.32
  240.20    192.91    257.22    179.06
  136.48    236.72    203.89    179.84

nload -------以流量图显示

iptraf ------------很直观的工具

sar -n DEV 1 4 查看4次数据
[root@ct-nat ~]#  sar -n DEV 1 4
Linux 2.6.18-164.el5PAE (ct-nat)        06/05/2014

02:20:38 PM     IFACE   rxpck/s   txpck/s   rxbyt/s   txbyt/s   rxcmp/s   txcmp/s  rxmcst/s
02:20:39 PM        lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00
02:20:39 PM      eth0    855.10    290.82 832319.39 140028.57      0.00      0.00      0.00


netstat -tu -c 查看发包的端口
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 124.1.1.68:49995          218.66.170.184:10991        ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:41077  ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:42562  ESTABLISHED 
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 124.1.1.68:49995          218.66.170.184:10991        ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:41077  ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:42562  ESTABLISHED 

用  lsof -i :39733 查看端口的进程,Kill就可以了

一篇博客的解决办法:
从服务器上使用命令sar -n DEV 1 4 ,确实出现大量发包的问题,(下边是正常的,异常的情况eth0txpck/s 10000左右了)

先进行限速或者拔掉网线:
开始之前,先要清除 eth0所有队列规则
tc qdisc del dev eth0 root 2> /dev/null > /dev/null

1) 定义最顶层(根)队列规则,并指定 default 类别编号
tc qdisc add dev eth0 root handle 1: htb default 20
tc class add dev eth0 parent 1: classid 1:20 htb rate 2000kbit
(1KB/s = 8KBit/s)

TC命令格式:
tc qdisc [ add | change | replace | link ] dev DEV [ parent qdisc-id | root ] [ handle qdisc-id ] qdisc [ qdisc specific parameters ]

tc class [ add | change | replace ] dev DEV parent qdisc-id [ classid class-id ] qdisc [ qdisc specific parameters ]

tc filter [ add | change | replace ] dev DEV [ parent qdisc-id | root ] protocol protocol prio priority filtertype [ filtertype specific parameters ] flowid flow-id

显示
tc [-s | -d ] qdisc show [ dev DEV ]
tc [-s | -d ] class show dev DEV tc filter show dev DEV

查看TC的状态
tc -s -d qdisc show dev eth0
tc -s -d class show dev eth0

删除tc规则
tc qdisc del dev eth0 root

查看状态:
top
CPU和MEM都正常,看不出异常的进程。

yum install -y tcpdump
tcpdump -nn
找到大量的IP地址

本机(192.168.35.145)和主机114.114.110.110之间的数据
tcpdump -n -i eth0 host 192.168.35.145 and 114.114.110.110
还有截取全部进入服务器的数据可以使用以下的格式
tcpdump -n -i eth0 dst 192.168.35.145

或者服务器有多个IP 可以使用参数
tcpdump -n -i eth0 dst 192.168.35.145  or  192.168.35.155

我们抓取全部进入服务器的TCP数据包使用以下的格式,大家可以参考下
tcpdump -n -i eth0 dst 192.168.35.145 or 192.168.35.155 and tcp

从本机出去的数据包
tcpdump -n -i eth0 src 192.168.35.145 or 192.168.35.155
tcpdump -n -i eth0 src 192.168.35.145 or 192.168.35.155 and port ! 22 and tcp
或者可以条件可以是or  和 and  配合使用即可筛选出更好的结果。

可以将异常IP加入到/etc/hosts.deny中,或者防火墙设置下

NetHogs 查看网络使用情况
wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -Uvh epel-release-6-8.noarch.rpm
yum clean all
yum makecache
yum install nethogs -y
nethogs

下图显示各进程当前网络使用情况:

按“m”键可以切换到统计视图,显示各进程总的网络使用情况

使用帮助:
    [root@localhost ~]# nethogs --help  
    usage: nethogs [-V] [-b] [-d seconds] [-t] [-p] [device [device [device ...]]]  
            -V : 显示版本信息,注意是大写字母V.  
            -d : 延迟更新刷新速率,以秒为单位。默认值为 1.  
            -t : 跟踪模式.  
            -b : bug 狩猎模式 — — 意味着跟踪模式.  
            -p : 混合模式(不推荐).  
            设备 : 要监视的设备名称. 默认为 eth0  
    当 nethogs 运行时, 按:  
     q: 退出  
     m: 总数和当前使用情况模式之间切换  
找到大量发包的进程,之后kill掉,再排查下这个进程是什么程序,文件路径在哪里,删除掉异常的文件。



个人学习笔记,不当之处还请指正。
----------不定期更新------------


本文转载自:http://blog.csdn.net/lan842632/article/details/52843345

共有 人打赏支持
leolan
粉丝 1
博文 42
码字总数 42
作品 0
梅州
linux环境下glassfish的ejb访问问题

我在linux上和windows7下各部署了一套glassfish,jdk,glassfish,和部署的应用均相同。 但是在远程客户端上访问windows下的ejb成功而访问linux时在lookup卡死,通过网络抓包可以看到在访问时...

astl ⋅ 04/18 ⋅ 0

RaySync 传输协议的有效带宽利用率分析介绍

最近在评论区收到不少朋友反应RaySync FTP文件传输的效果挺好,谢谢大家的鼓励。也有部分熟悉技术的同学希望介绍下原理,有部分同学咨询RaySync传输协议会不会是通过超量发包来达到快速传输,...

云语科技 ⋅ 04/14 ⋅ 0

Linux Test Project 测试套件说明

LTP(Linux Test Project) Linux Test Project 是由SGI、OSDL和Bull开发和维护的一个项目,由IBM、思科、富士通、SUSE、Red Hat、Oracle和其他公司共同开发和维护。该项目的目标是向开源社区...

党志强 ⋅ 05/07 ⋅ 0

学Linux运维自动化无头绪?Linux运维自动化怎么学?

最近几年Linux系统应用越来越广泛,以至于很多人开始热衷学习Linux。但是我们都是从小都是学习windows系统长大的,从windows 98到现在的windows 10,而根据学习windows系统的经验来学习Linux...

长沙千锋 ⋅ 04/12 ⋅ 0

Linux操作系统学习中请绕开这五大坑

导读 开发应用比较困难,只适用网络等等,这些对于Linux的评价只是在一些并不了解Linux的人的看法,一但你真正认识了Linux,都会被Linux的魅力所征服... 误区一:开发应用比较困难 这种说法在...

linuxprobe16 ⋅ 05/18 ⋅ 0

学着学着Linux系统写篇心得

本学期对于linux系统的学习,和自己买的一本《linux就该这么学》这本书,让我对linux有了一定的了解。我知道了linux只是个内核。现在的linux操作系统,都是用这么一个内核,加上其它的应用程...

linuxprobe16 ⋅ 06/03 ⋅ 0

Linux是什么?Linux学习哪个好?

Linux是什么?Linux学习哪个好?相信很多网友都有类似的疑惑。别急,看完这篇文章,你会有一个结论的。其实,现在各大公司,只要是招聘运维人员,肯定会提到Linux,那么,这个Linux是什么呢?...

长沙千锋 ⋅ 05/09 ⋅ 0

linux-网络数据包抓取-tcpdump

用法格式:   tcpdump [-i 网卡] [选项] '表达式' 选项说明如下: -i:interface 监听的网卡。 -nn:表示以ip和port的方式显示来源主机和目的主机,而不是用主机名和服务。 -A:以ascii的方...

onedotdot ⋅ 05/27 ⋅ 0

面向企业的最佳 Linux 发行版

在这篇文章中,我将分享企业环境下顶级的 Linux 发行版。其中一些发行版用于服务器和云环境以及桌面任务。所有这些可选的 Linux 具有的一个共同点是它们都是企业级 Linux 发行版 —— 所以你...

作者: Matt Hartley ⋅ 04/17 ⋅ 0

适合企业的最佳 Linux 发行版

在这篇文章中,我将分享企业环境下顶级的 Linux 发行版。其中一些发行版用于服务器和云环境以及桌面任务。所有这些可选的 Linux 具有的一个共同点是它们都是企业级 Linux 发行版 —— 所以你...

linux-tao ⋅ 04/24 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Kubeflow实战系列:利用TFJob导出分布式TensorFlow模型

介绍 本系列将介绍如何在阿里云容器服务上运行Kubeflow, 本文介绍如何使用TfJob导出分布式模型训练模型。 第一篇:阿里云上使用JupyterHub 第二篇:阿里云上小试TFJob 第三篇:利用TFJob运行...

全部原谅 ⋅ 18分钟前 ⋅ 0

007. 深入JVM学习—老年代

老年代空间的主要目的是用于存储由Eden发送来的对象,一般在经历好几次“Minor GC”还会保存下来的对象,才会被复制到老年代,这样就可以存放更多的对象,同时在老年代中执行GC的次数也相对较...

影狼 ⋅ 19分钟前 ⋅ 0

常见的一些C#开源框架或者开源项目

原:https://blog.csdn.net/qq_27825451/article/details/70666044 Json.NET http://json.codeplex.com/ Json.Net 是一个读写Json效率比较高的.Net框架.Json.Net 使得在.Net环境下使用Json更......

whoisliang ⋅ 20分钟前 ⋅ 0

设计模式基本原理

刚开始接触编程这行的时候看过设计模式,当时感觉学这些模式没有太大的用处,当时也看不太懂。但是随着慢慢接触这一行,经过一段时间的编程以后,再回过头来看设计模式,发现设计模式的确是太...

王子城 ⋅ 23分钟前 ⋅ 0

阿里云全面支持IPv6!一文揽尽4位大咖精彩演讲

摘要: 自从去年11月以来,阿里巴巴高度重视数据中心的网络改造、云产品改造、应用及网络改造等多个维度,经过半年以来的建设,阿里云已经完成了域名解析等关键产品的分析,现在阿里云已经完...

传授知识的天使 ⋅ 34分钟前 ⋅ 0

windows Android sdk 配置

1、下载Android SDK,点击安装,直接默认路径即可! 下载地址:http://developer.android.com/sdk/index.html 2、默认路径安装后,安装完成,开始配置环境变量。 3、打开计算机属性——高级系...

阿豪boy ⋅ 36分钟前 ⋅ 0

bash shell script 简明教程

User <--> bash <--> kernel shell is not kernel or part of kernel various shells: tcsh, csh, bash, ksh find the using shell: echo $SHELL find all the shells: cat /etc/shells what......

mskk ⋅ 39分钟前 ⋅ 0

Service Mesh简史

William Morgan Service Mesh是一个相当新的概念,讲它的“历史”似乎有些勉强。就目前而言,Service Mesh已经在部分企业生产环境中运行了超过18个月,它的源头可以追溯到2010年前后互联网公...

好雨云帮 ⋅ 39分钟前 ⋅ 0

10个免费的服务器监控工具

监控你的WEB服务器或者WEB主机运行是否正常与健康是非常重要的。你要确保用户始终可以打开你的网站并且网速不慢。服务器监控工具允许你收集和分析有关你的Web服务器的数据。 有许多非常好的服...

李朝强 ⋅ 51分钟前 ⋅ 0

压缩工具之zip-tar

zip 支持目录压缩。使用yum安装zip包,使用yum安装unzip包 zip 1.txt.zip 1.txt #将1.txt文件压缩,新生成的压缩文件为1.txt.zip,原文件保留 zip -r 123.zip 123/ #-r对目录操作。将123/目录...

ZHENG-JY ⋅ 52分钟前 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部