如何排查Linux服务器上的恶意发包行为

Linux下使用iftop工具结合iptables服务来解决带宽资源被恶意请求满的问题，主要通过2个步骤来实现；1. 使用iftop工具查出来是哪些个IP地址在请求主机的带宽资源，找出耗带宽的元凶

2. 找出耗带宽的IP地址或者段，分析是out方向还是in方向，使用iptables规则来进行控制

具体的详细操作方法如下；

一但出现带宽被恶意请求，在带宽被请满的情况下基本上很难通过网络登入到服务器上进行操作跟维护，这时我们需要通过阿里云提供的“连接管理终端”服务来登入系统

一般建议在主机正常的时候直接在服务器内部安装好iftop工具，这样出现恶意请求的时候直接可以使用该工具来进行排查，下面介绍下iftop的2中安装方法

1.使用yum 安装iftop工具

使用yum安装的话比较简单，只要直接执行 yum install iftop –y命令即可，如果没问题的话系统就会自动执行安装，但是有使用yum可能安装不了，这时就需要使用编译安装了

2.编译安装iftop工具

阿里论坛有一篇肉鸡类问题排查思路的文章，按照上面的思路找了找

没发现异常登录，没有头绪。

可以通过tcpdump命令进行抓包，我将抓取的数据存入一个文件之后进行观察

抓包文件可以通过一些工具进行分析，我用Wiresherk查看了一下，发现服务器不断向美国、香港等服务器发包。

但是仍没有进攻行为，还是没能找到程序所在。

当下做了个决定，既然暂时找不到，就先封锁他的行为吧。

这样一定程度上阻止了异地的访问

重启服apache务器，这样恶意发的包就发不出去，带宽占用又降回正常了。

但是病毒文件还是没有找到，仍在排查。

阿里论坛有一篇防止PHPDDOS攻击的文章

打开虚拟机，启动Linux系统，启动完成后输入用户名和密码，按回车键登录系统。

配置Linux网络，使其能与主机Window 7正常通讯。注：网络配置可在网上搜索相关文章

在Linux下安装samba服务器，安装命令如下：

$sudo apt-get install samba smbfs samba-common smbclient

创建Samba配置文件

4.1打开配置文件

$sudo vim /etc/samba/smb.conf

4.2在smb.conf最后添加

[username]

path = /home/username

available = yes

browseable = yes

public = yes

writable = yes

(注意：上面设置中，username换成你的用户名，如果在前面有"#"，需要把它去掉)

4.3把"#===== Share Definitions====="部分修改成如下图所示：

创建samba账户

$sudo smbpasswd -a USERNAME(USERNAME换成你的用户名)

会要求输入samba账户的密码

New SMB password:

Retype new SMB password:

[如果没有此步骤，当你登录时会提示session setup failed:NT_STATUS_LOGON_FAILURE]

重启samba服务器

$sudo /etc/init.d/samba reload(修改过smb.conf的话要执行一次)

$sudo /etc/init.d/samba restart

测试samba安装是否成功

可以到window下输入ip测试

在文件夹处输入"\\" + "Linux机器的IP或主机名"，如图：

在Window下建立“映射网络驱动器”

打开“计算机”，找到如下图标注所示的“映射网络驱动器”，然后点击它

网络驱动器的设置

点击“驱动器”按钮，选择系统所剩甫姬颠肯郯厩奠询订墨下的盘符，如下图所示。这里我们选择“Z”盘

10.1选择需要映射的共享文件夹。在“文件夹”后面的输入框中输入我们Linux中sanba设置的共享文件夹路径，如下图：

[下图中的SHAREDIR输入你自己的共享文件名]

10.2选上登录时重新连接

10.3点击完成【按钮】，系统会为我们映射网络驱动器

打开“计算机”，会看到如下红色框标注图所示。双击网络驱动器，就可以直接访问到我们Linux下设置的共享目录了。

---