Назад | Перейти на главную страницу

Как я могу определить, какие пакеты UDP отправляет мой сервер?

Изучая свои iptables, я только что заметил, что с моего сервера отправлено 122 тыс. Пакетов (16 МБ). Я понятия не имею, что это такое, поскольку у меня нет какой-либо известной мне службы, использующей udp рядом с DNS (клиентом) на моем сервере. У меня есть почтовый сервер, который, как я знаю, интенсивно использует udp через dns и rbl.

Есть ли простой способ определить, является ли мой исходящий трафик udp законным или нет?

Несколько вариантов:

  1. Добавьте в правила iptables логгинг для записи разрешенного udp-трафика.
  2. Используйте wirehark или другой инструмент для мониторинга пакетов, сделайте захват трафика udp и проанализируйте его. а. Это можно сделать на локальном компьютере или
    б. Включив зеркалирование портов на коммутаторе и скопировав трафик на другой порт, к которому подключен компьютер с wirehark или аналогичным инструментом для записи трафика. (См. SPAN, RSPAN и т. Д.) И глядя на трафик на
  3. Если ваш сервер подключается к маршрутизатору, разрешите маршрутизатору регистрировать трафик udp для этого хоста. Или, возможно, netflow, если поддерживается.
  4. Если ваш сервер подключается к брандмауэру, сделайте так, чтобы брандмауэр регистрировал трафик или, возможно, сетевой поток, если он поддерживается. Ваш брандмауэр может уже сообщать вам, какие соединения были установлены с сервера, без необходимости включения дальнейшего ведения журнала.