记服务器流量异常跑高

1. 起

最近一个月办公室的网路时段时序，开始以为是电信网络的原来，请来了电信工程师帮我们查看。工程师就用笔记本连着光猫看视频、逛淘宝，半个小时候得出结论。 网络没有问题，应该是咱们内部局域网的问题，然后就走了。

2. 承

但是时断时续的网络真的很烦人哇， 实在是受不了了呢。突然有一天发现将我们本地的192.168.31.9这台本地服务器网线拔掉之后，就不会断网了。 那么问题肯定出在这台本地测试服务器了。

3. 转

• 安装iftop

yum install iftop

执行iftop命令

iftop

+----------------------------------------+----------------------------------------+-----------------------------------------+----------------------------------------+-----------------------------------------
vdevops                                                                                   => 192.168.31.42-dns-a.google.com                                                             4.12Kb  5.50Kb  5.65Kb
                                                                                          <=                                                                                             480b    480b    427b
vdevops                                                                                   => 63.141.230.237dns-a.google.com                                                              840b   1.10Kb   282b
                                                                                          <=                                                                                             896b    906b    226b
vdevops                                                                                   => google-public-dns-a.google.com                                                              240b    637b    381b  
                                                                                          <=                                                                                             512b   1.32Kb   697b
vdevops                                                                                   => public1.114dns.com.net                                                                      240b    432b    228b
                                                                                          <=                                                                                             512b    922b    435b
255.255.255.255                                                                           => gateway-198-50-134.net                                                                        0b      0b      0b
                                                                                          <=                                                                                             584b    599b    581b

• 安装nethogs

yum install nethogs

借助这两个工具能看到服务器在向某个ip发包，占用大量带宽。于是就想到了用防火墙将此ip屏蔽，结果又出了一个新的ip。然后我又想到的方法是iptables的input链和output链只开放部分端口。 暂时将此问题压制住了，但同时带来一个问题就是， 此服务器只能被内网访问，不能访问外网。T_T

iptables -F      清除预设表filter中的所有规则链的规则
iptables -X      清除预设表filter中使用者自定链中的规则
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8090 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8060 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8064 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 6380 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8062 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8050 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8051 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8052 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8053 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8054 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8055 -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 3306 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8080 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8090 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8060 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8064 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 6379 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 6380 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8062 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8050 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8051 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8052 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8053 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8054 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --sport 8055 -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -L -n
service iptables save

配置参考文字： https://www.cnblogs.com/alimac/p/5848372.html

4. 并没有合

事件并没有因此结束，因为这种处理方法只是权宜之计，虽然是本地开发服务器，内网能使用基本满足要求，但不能访问外网确实很让人不爽。所以根本的解决方法还是要将病毒杀掉，在我的下一篇博客：https://www.jianshu.com/p/eb2d45848262

作者 @没有故事的老大爷
我一路向北，离开有你的季节