UDP洪水攻击(linux服务器)

Question

可能重复: UDP洪水攻击(linux服务器)

如何检测linux服务器上的UPD洪水，或检查是否有udp洪水攻击？

我想知道发生了什么，什么时候发生的。

Answer 1

像tcpdump或wireshark这样打开流量嗅探器，如下所示：

tshark -i any port 53

我还会重复检查Sameer上面说过的，看看您是否正在运行任何通过运行UDP来侦听UDP的服务：

netstat -nulp

Answer 2

这是当你被每秒5包击中时，你是如何匹配的

[UNTESTED]
iptables -A INPUT -p udp -m limit --limit 5/s -j LOG

Answer 3

如果您根本不期望udp通信量，我可能建议直接删除它(当然，DNS服务器除外！)：

iptables -A INPUT -p udp --sport 53 -s my.dns.server1 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -s my.dns.server2 -j ACCEPT
iptables -A INPUT -p udp -j DROP