vps广告

iftop显示DNS服务53端口domain占用大量带宽的案例分析

五彩互联编辑部发布时间:2019-01-23 09:16:18浏览:0
摘要:   一台vps服务器带宽发现异常,iftop显示DNS服务53端口domain占用大量带宽的案例分析  现象:  使用 iftop -B -n 发现带宽一直占用10Mbps-20Mbps, 但是看不到任何属于服

   一台vps服务器带宽发现异常,iftop显示DNS服务53端口domain占用大量带宽的案例分析

  现象:

  使用 iftop -B -n 发现带宽一直占用10Mbps-20Mbps, 但是看不到任何属于服务器自身的IP地址。

  排查:

  按p显示端口,发现都是domain端口,也就是dns的53端口。原来dns服务可以不显示vps自己的ip地址

  分析:

  到底是谁在捣乱? 我们先封掉53端口

  iptables -I FORWARD -p tcp --dport 53 -j DROP

  iptables -I FORWARD -p udp --dport 53 -j DROP

  很快,iftop正常了。说明找到问题

  找源头:

  iptables -D FORWARD -p udp --dport 53 -m state --state NEW -j LOG --log-prefix "ctohome_udp_dns "

  然后看日志 tail -f /var/log/messages 发现大量日志,类似下面:

  Jul  8 22:06:19 UBI01 kernel: ctohome_udp_dns IN=eth0 OUT=eth0 PHYSIN=tap-vifvm264.0 PHYSOUT=peth0 SRC=10.62.4.6 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=4675 PROTO=UDP SPT=50651 DPT=53 LEN=40

  Jul  8 22:06:19 UBI01 kernel: ctohome_udp_dns IN=eth0 OUT=eth0 PHYSIN=tap-vifvm264.0 PHYSOUT=peth0 SRC=10.62.4.6 DST=4.2.2.2 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=4676 PROTO=UDP SPT=50651 DPT=53 LEN=40

  然后去查 vifvm264 是哪个家伙,这就是源头

    联系我们