排查方法
本章节内容主要指导您:排查主机是否被作为UDP反射攻击的“放大器”利用。
- 使用root账户登录服务器。
本例中,该服务器正常运行情况下每秒发送10个长度为800Byte的UDP数据包。
- 执行以下命令,查看当前的网络连接与进程。
分析当前的网络连接与进程是否存在异常,建议利用netstat -anpt命令进行查看;若当前连接与进程已停止或被隐藏,可以利用抓包方式进行分析,需要安装tcpdump抓包工具。
- 执行以下命令抓包,分析UDP流量攻击。
抓包结果如图1显示。
- 执行以下命令,将抓包分析结果暂存至/home文件夹中,文件名为udp.pcap。
- 执行以下命令,对抓包分析结果进行分析,结果如图2所示。
根据步骤3可知,图中被检查的设备正在对另一个IP地址发送数十个UDP长度为1460Byte的数据包,明显超出正常业务数据包的范畴,说明该设备正在被利用为UDP反射攻击的“放大器”对外攻击。
通过步骤b可知,图中设备UDP连接次数每秒高达5万次以上,说明图中设备所提供的服务被攻击者利用实施UDP反射放大攻击,需要对设备采取必要的防护措施,避免设备资源被攻击行为占用,影响正常业务。