更新时间:2024-11-07 GMT+08:00
分享

排查方法

本章节内容主要指导您:排查主机是否被作为UDP反射攻击的“放大器”利用。

  1. 使用root账户登录服务器。

    本例中,该服务器正常运行情况下每秒发送10个长度为800Byte的UDP数据包。

  2. 执行以下命令,查看当前的网络连接与进程。

    netstat -anput

    分析当前的网络连接与进程是否存在异常,建议利用netstat -anpt命令进行查看;若当前连接与进程已停止或被隐藏,可以利用抓包方式进行分析,需要安装tcpdump抓包工具。

  3. 执行以下命令抓包,分析UDP流量攻击。

    tcpdump -nn udp

    抓包结果如图1显示。

    图1 UDP对外攻击数据包
    1. 执行以下命令,将抓包分析结果暂存至/home文件夹中,文件名为udp.pcap。

      nohup tcpdump -nn udp -c 1000000 -w /home/udp.pcap &

    2. 执行以下命令,对抓包分析结果进行分析,结果如图2所示。
      tcpdump -nn -r /home/udp.pcap|awk -F'.' '{print $1}'|sort|uniq -c
      图2 抓包分析结果

根据步骤3可知,图中被检查的设备正在对另一个IP地址发送数十个UDP长度为1460Byte的数据包,明显超出正常业务数据包的范畴,说明该设备正在被利用为UDP反射攻击的“放大器”对外攻击。

通过步骤b可知,图中设备UDP连接次数每秒高达5万次以上,说明图中设备所提供的服务被攻击者利用实施UDP反射放大攻击,需要对设备采取必要的防护措施,避免设备资源被攻击行为占用,影响正常业务。

相关文档