奇妙な交通渋滞を発見しましたtcpdump(交通渋滞が発生し続けます)。
13:00:13.203754 IP 1.2.3.4.1028 > 188.113.188.16.56881: UDP, length 103
13:00:13.204396 IP 1.2.3.4.1028 > 180.183.209.27.29546: UDP, length 103
13:00:13.204972 IP 1.2.3.4.1028 > 95.188.250.39.6881: UDP, length 103
13:00:13.205509 IP 1.2.3.4.1028 > 125.39.30.33.5493: UDP, length 103
13:00:13.206048 IP 1.2.3.4.1028 > 46.194.14.254.32232: UDP, length 103
13:00:13.206526 IP 1.2.3.4.1028 > 151.52.30.111.6881: UDP, length 103
13:00:13.207097 IP 1.2.3.4.1028 > 70.27.63.150.64389: UDP, length 103
13:00:13.207555 IP 1.2.3.4.1028 > 108.12.215.184.42880: UDP, length 103
13:00:13.208082 IP 1.2.3.4.1028 > 37.105.27.136.54752: UDP, length 103
13:00:13.209671 IP 1.2.3.4.1028 > 61.53.14.223.6881: UDP, length 106
13:00:13.266142 IP 46.35.235.75.10995 > 1.2.3.4.1028: UDP, length 289
13:00:13.276353 IP 86.162.78.254.20206 > 1.2.3.4.1028: UDP, length 289
13:00:13.345021 IP 108.12.215.184.42880 > 1.2.3.4.1028: UDP, length 289
13:00:13.349955 IP 46.194.14.254.32232 > 1.2.3.4.1028: UDP, length 289
13:00:13.357145 IP 70.27.63.150.64389 > 1.2.3.4.1028: UDP, length 289
13:00:13.373275 IP 37.105.27.136.54752 > 1.2.3.4.1028: UDP, length 289
13:00:13.785877 IP 61.53.14.223.6881 > 1.2.3.4.1028: UDP, length 311
13:00:13.880421 IP 1.2.3.4.1028 > 86.38.202.92.63287: UDP, length 1438
13:00:13.913168 IP 122.174.79.84.34858 > 1.2.3.4.1028: UDP, length 289
13:00:14.057212 IP 86.38.202.92.63287 > 1.2.3.4.1028: UDP, length 20
... many more lines with same or different hosts
1.2.3.4は私のWANアドレスです(個人用に変更されました)。ポート1028は私のファイアウォールで開かれません。も削除しようとしました。
$IPT -I INPUT -p udp --sport 1028 -j DROP
$IPT -I INPUT -p udp --dport 1028 -j DROP
$IPT -I FORWARD -p udp --sport 1028 -j DROP
$IPT -I FORWARD -p udp --dport 1028 -j DROP
$IPT -I OUTPUT -p udp --sport 1028 -j DROP
$IPT -I OUTPUT -p udp --dport 1028 -j DROP
$IPT -A INPUT -p udp --sport 1028 -j DROP
$IPT -A INPUT -p udp --dport 1028 -j DROP
$IPT -A FORWARD -p udp --sport 1028 -j DROP
$IPT -A FORWARD -p udp --dport 1028 -j DROP
$IPT -A OUTPUT -p udp --sport 1028 -j DROP
$IPT -A OUTPUT -p udp --dport 1028 -j DROP
ルールは次のとおりです。
root@server-14:/# iptables -n -L
Chain INPUT (policy DROP)
target prot opt source destination
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1028
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1028
ACCEPT all -- 127.0.0.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 67,68
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:221 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 state ESTABLISHED
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1028
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1028
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1028
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1028
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1028
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1028
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1028
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1028
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1028
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1028
lsof -p 1028何も見せず、netstat -antlpu見せません。
using -A、using -I、さらには(見てわかるように)両方を試してみました。動作せずにトラフィックが流れ続けています。時々、インターネット接続速度が不安定になることがあります。私は私が一種のボットネットのようなものに陥ったという考えも聞き始めました...
ベストアンサー1
lsof -p 1028フィルタプロセスID 1028。
以下を試してください。
# lsof -Pnl +M -i4
開いているIPv4ポートのリストとそのポートが属するプロセスを表示します。これは-Pnlオプションですが、名前のルックアップなどの操作を実行しないため、少し高速です。
または:
# lsof -i :1028
ポート1028でリッスンしているすべてのエントリを一覧表示します。
奇妙なことが起こった場合は、単にルールでトラフィックをブロックするのではなく、原因を特定する必要がありますiptables。