大家好 想请问一下以下症状是不是DOS攻击 1. 提供的服务每天下午五点开始就会爆炸 周末的话是下午三点开始爆炸 用nload看会发现100M的流量几乎被占满了， 用netstat看会发现来几个IP的连线数量少部分有 5~6个 多的时候20个 来自西雅图，但就算把那个ip给drop掉，流量还是被占满 2. 用hinet pppoe 固定IP连线 以太网路线一插上去马上飙到100M/s 用随机IP就没事 3. 初步防护 sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 25565 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 8123 -m state --state NEW -m limit --limit 1/second -j ACCEPT sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -L 请问有没有什麽工具可以看到哪个IP的流量的 找了很久但是由於LINUX新手觉得有点痛苦 流量暴增的时候 nethogs也没查到什麽奇怪的流量 都<1M/s 就只有用nload会发现RX 被占满 4. 先把乙太网路拔了，插回去重新拨号 流量暴增时 用netstat看连线数 没有可疑IP 都是本机连线 请问依照我的iptables还有什麽攻击是危险的? 上来问的原因是 都找不到哪个IP OR 程式的流量很奇怪 觉得苦恼，做了很多功课，资质鲁钝 才上来请教 谢谢 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.165.113.84 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Linux/M.1463408032.A.7A2.html ※ 编辑: tonylo2ooo (118.165.113.84), 05/16/2016 22:18:08 是阿 开minecraft server http://mcfallout.net 要去哪里检查後门程式阿， htop观察吗 之前好像有觉得怪的程式 每个拿去google好像都正常 一般来说後门会用root执行对吧? 有没有类似的教战守策推荐阅读的 谢谢 server方面 换了IP跟port，跟登入用的帐密目前正常了 打算改换key登入 ※ 编辑: tonylo2ooo (118.165.6.98), 05/18/2016 22:56:22 谢谢大家的指教，问题似乎解决了! ※ 编辑: tonylo2ooo (118.165.6.98), 05/19/2016 09:24:46