大家好 想請問一下以下症狀是不是DOS攻擊 1. 提供的服務每天下午五點開始就會爆炸 周末的話是下午三點開始爆炸 用nload看會發現100M的流量幾乎被占滿了， 用netstat看會發現來幾個IP的連線數量少部分有 5~6個 多的時候20個 來自西雅圖，但就算把那個ip給drop掉，流量還是被占滿 2. 用hinet pppoe 固定IP連線 以太網路線一插上去馬上飆到100M/s 用隨機IP就沒事 3. 初步防護 sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 25565 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 8123 -m state --state NEW -m limit --limit 1/second -j ACCEPT sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -L 請問有沒有什麼工具可以看到哪個IP的流量的 找了很久但是由於LINUX新手覺得有點痛苦 流量暴增的時候 nethogs也沒查到什麼奇怪的流量 都<1M/s 就只有用nload會發現RX 被占滿 4. 先把乙太網路拔了，插回去重新撥號 流量暴增時 用netstat看連線數 沒有可疑IP 都是本機連線 請問依照我的iptables還有什麼攻擊是危險的? 上來問的原因是 都找不到哪個IP OR 程式的流量很奇怪 覺得苦惱，做了很多功課，資質魯鈍 才上來請教 謝謝 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.165.113.84 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Linux/M.1463408032.A.7A2.html ※ 編輯: tonylo2ooo (118.165.113.84), 05/16/2016 22:18:08 是阿 開minecraft server http://mcfallout.net 要去哪裡檢查後門程式阿， htop觀察嗎 之前好像有覺得怪的程式 每個拿去google好像都正常 一般來說後門會用root執行對吧? 有沒有類似的教戰守策推薦閱讀的 謝謝 server方面 換了IP跟port，跟登入用的帳密目前正常了 打算改換key登入 ※ 編輯: tonylo2ooo (118.165.6.98), 05/18/2016 22:56:22 謝謝大家的指教，問題似乎解決了! ※ 編輯: tonylo2ooo (118.165.6.98), 05/19/2016 09:24:46