Linux下發包處理

Linux下發包處理：

1.用top分析工具來查看哪個進程占用的CPU資源比較大 

2. 通過命令來查看都是那些端口被占用了   netstat -antp | more 

3.在top里面查看到的異常進程  到 /proc 目錄下 找到異常進程號 

進到進程號的目錄  執行 ls -l  看一下文件的路徑 確定是不是系統文件

不是的話 就用kill -9 xx  或者是 killall  xx 殺死這個進程   

4.    殺死后進程還繼續跳出的話 刪除文件

whereis xxx    

ps -ef grep

rm -rf xxx

 

Windows 下方法一樣 

打開任務器管理器 看那個進程占用CPU 結束掉

 

 

      服務器發包就是服務器向外發送數據包，具體表現就是向外流出流量變大。服務器發包很有可能是當前服務器的控制者使用服務器或服務器被當成肉雞對其他的主機進行數據包攻擊。
可以用機房管理系統里ip查詢，觀察流量圖。服務器向外發包時，服務器的流出流量也就是圖中的綠色線會偏高，發包大了帶寬也會跑滿。一般情況下服務器發包，都是服務器被入侵了，成了別人的肉雞，對其他的主機進行流量攻擊。 
   

 

       一．Windows下服務器發包處理：

1.先用工具查詢下服務器進程、程序流量，如：Tcpview工具，查出異常發包程序后，結束掉。

2.然后查殺木馬、掃描修復下服務器的漏洞。

3.開啟防火牆，關閉不用的端口，對服務器做下安全策略。

 

       二．linux下服務器發包處理：

        1.首先用tcpducm抓包:

Tcpdump參數說明：

-i 跟上網口    -nn 以ip地址方式顯示   -c 表示抓多少個包

Tcp  Udp       Port 端口號

舉例 

    另外推薦使用iftop工具，觀察流量

Iftop工具主要用來顯示本機網絡流量情況及各相互通信的流量集合，如單獨同哪台機器間的流量大小，找到服務器流量發往哪個ip上。
iftop參數講解：

TX:發送流量 RX:接收流量  TOTAL:總流量
Cumm:運行iftop到目前時間的總流量    peak:流量峰值    rates：分別表示過去2s、10s、40s的平均流量    <= =>表示的是流量的方向。

-i設定監測的網卡，如：# iftop -i eth1

-B 以bytes為單位顯示流量(默認是bits)，如：# iftop -B

-n使host信息默認直接都顯示IP，如：# iftop -n

-N使端口信息默認直接都顯示端口號，如: # iftop -N

-F顯示特定網段的進出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0
       2.運用iptales命令設置防火牆規則

       從抓取的包中分析出向哪個ip地址發包，然后直接阻止向改地址發送數據。

iptables -A OUTPUT -d  目的ip地址   -j DROP

       或者:如果是UDP發包，也可以禁止本機對外發送UDP包

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -A OUTPUT -p udp -j DROP

      或者只允許本機發送指定端口的包。
例如：

iptables -A OUTPUT -p TCP  --sport  22  -j ACCEPT

iptables -A OUTPUT -p UDP  --sport  53  -j ACCEPT

iptables -A OUTPUT -p TCP  --sport  53  -j ACCEPT

iptables -A OUTPUT -p TCP  --sport  80   -j ACCEPT

iptables -A OUTPUT -p TCP   -j DROP