继上次阻止udp发包后,出网流量得到了控制。但是由于没能找到恶意文件,于昨天又出现了问题,早上开始入网流量异常,严重不符合业务正常的状况。
思路一、使用iftop查看带宽占用情况
1.安装iftop
yum install iftop
2.查看带宽占用
iftop -i eth1
发现有几个ip是之前发包的目标ip。其中一个是主ip,每秒的入网流量达到2M左右,还有两个ip在2、3百K。
思路二、禁掉ip间的访问
1.查看当前iptables的配置
iptables -L
2.禁掉iptables的输入、输出链。
由于搞不清恶意文件的操作,就封锁了所有和此ip有关联的走法。
iptables -I INPUT -s ##IP## -j DROP
iptables -I INPUT -d ##IP## -j DROP
iptables -I OUTPUT -s ##IP## -j DROP
iptables -I OUTPUT -d ##IP## -j DROP
service iptables save
service iptables restart
再进行查看,发现向这个ip的出网流量一直是0,但是入网流量还是有,询问阿里的售后支持,说是连接一直没断开过,所以要断开后才能生效。
问题继续解决中。
思路三、查看linux连接进程占用的实时流量
1.安装nethogs
yum -y install nethogs
2.查看进程流量
nethogs
3.下载并安装nload
http://sourceforge.net/projects/nload/
4.记录
nethogs -b | tee log.txt
网友评论