сервер Ubuntu, отправляющий большой трафик udp на IP
Мы заметили, что некоторые из наших серверов Ubuntu отправляют огромные объемы трафика udp на IP, который мы не распознаем. Может ли сервер быть заражен? Как мы можем узнать? На серверах установлен постфикс. Единственные открытые порты на этих машинах - smtp и pop3.
1 ответ
UDP используется для различных услуг. Если у вас открыты только SMTP и POP3, у вас не должно быть трафика UDP. Я предполагаю, что у вас также открыт DNS как по TCP, так и по UDP. Огромное количество трафика является довольно неточным измерением. Это 1% вашего трафика или пропускной способности, или 90%.
Если вы разрешите входящую электронную почту, я предполагаю, что вы также используете какое-то программное обеспечение для сканирования почты. Это должно генерировать изрядное количество поисков DNS. По этой причине рекомендуется запустить кеширующий DNS-сервер на хосте. UDP также используется некоторыми другими ресурсами, используемыми для идентификации спама.
Команда sudo netstat -anp | grep udp | grep less выведет список соединений с использованием UDP и связанной программы. Это может помочь определить источник трафика. Повторение команды как sudo netstat -anp | grep udp | grep EST | less несколько раз может дать вам представление, является ли это постоянным соединением.
Вы можете использовать tcpdump для проверки трафика и определения типа передаваемых данных. Это даст вам представление о том, является ли трафик законным.
Еще одним инструментом, который вы можете использовать, является ntop, который будет суммировать трафик по протоколу и хосту. Это может дать вам и понять, какой трафик проходит.
Вы можете вставить правило блокировки в iptables. Это может блокировать трафик по IP-адресу, протоколу или протоколу и порту. Будьте готовы быстро удалить правило, если трафик законный.