排查方法

本章节内容主要指导您：排查主机是否被作为UDP反射攻击的“放大器”利用。

1. 使用root账户登录服务器。
   

   本例中，该服务器正常运行情况下每秒发送10个长度为800Byte的UDP数据包。

2. 执行以下命令，查看当前的网络连接与进程。

   netstat -anput

   分析当前的网络连接与进程是否存在异常，建议利用netstat -anpt命令进行查看；若当前连接与进程已停止或被隐藏，可以利用抓包方式进行分析，需要安装tcpdump抓包工具。

3. 执行以下命令抓包，分析UDP流量攻击。

   tcpdump -nn udp

   抓包结果如图1显示。

   图1 UDP对外攻击数据包
   
   1. 执行以下命令，将抓包分析结果暂存至/home文件夹中，文件名为udp.pcap。

      nohup tcpdump -nn udp -c 1000000 -w /home/udp.pcap &

   2. 执行以下命令，对抓包分析结果进行分析，结果如图2所示。
      tcpdump -nn -r /home/udp.pcap|awk -F'.' '{print $1}'|sort|uniq -c

      图2 抓包分析结果
      

根据步骤3可知，图中被检查的设备正在对另一个IP地址发送数十个UDP长度为1460Byte的数据包，明显超出正常业务数据包的范畴，说明该设备正在被利用为UDP反射攻击的“放大器”对外攻击。

通过步骤b可知，图中设备UDP连接次数每秒高达5万次以上，说明图中设备所提供的服务被攻击者利用实施UDP反射放大攻击，需要对设备采取必要的防护措施，避免设备资源被攻击行为占用，影响正常业务。