Cómo comprobar de qué IP proviene el tráfico anormal en el servidor Linux

En Linux, la herramienta iftop se usa en combinación con el servicio iptables para resolver el problema de los recursos de ancho de banda ocupados por solicitudes maliciosas. Esto se logra principalmente mediante dos pasos:

1. Encuentre la dirección IP que solicita los recursos de ancho de banda del host. Encuentre el culpable que consume ancho de banda

2. Encuentre la dirección IP o el segmento de red que consume ancho de banda y analice si es la dirección saliente o entrante para controlar. Analice si es la dirección saliente o entrante y use reglas de iptables para el control.

Los detalles de la operación específica son los siguientes:

Una vez que ocurre una solicitud maliciosa de ancho de banda, cuando el ancho de banda es completo, básicamente es difícil iniciar sesión en el servidor a través de la red para operación y mantenimiento. En este caso, debe utilizar el "Terminal de administración de conexión" proporcionado por Alibaba Cloud para la administración del ancho de banda. "

Generalmente, se recomienda instalar la herramienta iftop directamente en el servidor cuando el host es normal, de modo que pueda usar la herramienta directamente para solucionar problemas de solicitudes maliciosas. Aquí hay dos métodos para instalar iftop

1. Use yum para instalar iftop

Usar yum para instalar iftop es muy simple. Simplemente ejecute el comando yum install iftop -y. instalación, pero si usa yum para instalar, es posible que no se pueda instalar, necesita usar un compilador para instalarlo

2. Compile e instale la herramienta iftop

(1) Descargue el paquete de código fuente de la herramienta iftop;

/aliyunecs/iftop-0.17.tar.gz

(2) Instale las dependencias requeridas en CentOS

yum install flex byacc libpcap ncursesncurses-devel libpcap-devel

(3) Descomprime el archivo iftop descargado

tarzxvf iftop-0.17.tar.gz

(4 ) Vaya al directorio iftop descomprimido

cdiftop-0.17

Configúrelo y configúrelo /p>

Configure y establezca el directorio de instalación en /usr/local/ iftop

(5 ./configure -prefix=/usr/local/iftop

(6) Compilar e instalar

make && make install

Una vez completada la instalación, use /usr /local/iftop/sbin/iftop Inicie el programa iftop y verifique el uso del tráfico. Si desea usar iftop para abrir el programa directamente, debe agregar el programa iftop. la variable de entorno

Utilice el servicio iptables para limitar el tráfico malicioso;

iftop -i eth1 Verifique el uso del tráfico de la tarjeta de red eth1

Lo anterior. La información muestra claramente que el servidor 121.199 ha estado enviando tráfico a 192.230.123.101 y ha generado un tráfico considerable

Iptables -A OUTPUT -d 192.230.123.101 -j REJECT

Aquí tienes. También puede encontrar una situación en la que haya deshabilitado una dirección IP, entonces otras direcciones IP en el segmento de red pueden recibir inmediatamente y continuar solicitando esa dirección IP, por lo que puede limitarla a un segmento de red.

iptables-A OUTPUT -d 192.230.0.0/16 -j REJECT

Después de agregar la política, puede usar iftop -i eth1 para verificar el flujo de solicitudes;

Puede ver que el flujo de solicitudes ha vuelto a la normalidad y el firewall ha bloqueado la dirección de la solicitud maliciosa anterior.