linux遭受UDP攻击解决办法

前几天朋友的网站流量很大，导致无法访问。去IDC查看，服务器已经DOWN掉了。重启后使用bandwidth查看近来的流量状况，发现是由于UDP的流量达到峰值导致。系统为Centos 5.4

1、下载安装iftop查看具体流量来源。

wget http://www.ex-parrot.com/~pdw/iftop/iftop-0.17.tar.gz #下载源码安装包

tar -zvxf iftop-0.17.tar.gz #解压缩

cd iftop-0.17

./configure

make && make install #安装

安装之前检查以下包是否安装

yum install flex byacc libpcap ncurses ncurses-devel libpcap-devel

iftop基本命令

直接运行iftop

参数

-i 指定网卡 #默认为eth0

-B 以bytes为单位显示流量 #默认是bits

-n 使host信息默认直接都显示IP

-b 使流量图形条默认就显示

详细使用可参看http://www.vpser.net/manage/iftop.html

2、发现流量不正常的IP，使用iptables封掉

iptables -I OUTPUT -d IP地址 -j DROP

3、封掉所有UDP端口

iptables -I OUTPUT -p UDP -j DROP

4、开放DNS服务器的UDP端口

iptables -I OUTPUT -p UDP -d DNS地址 -j ACCEPT

DNS地址可查看/etc/resolv.conf文件获得

5、iptables-save

service iptables resetart

只能临时解决问题，彻底解决需要分析accesslog，找出攻击代码。或者重新部署系统、软件。

本文出自 “yixinjushi” 博客，请务必保留此出处http://zhaochenyang.blog.51cto.com/383437/777305