最近阿里云服务器,经常报告服务器反射攻击,发现服务不停的向外发包,于是开始研究解决办法。
1.安装iftop查看包流量变化。
sudo iftop -i eth1 -n -P
使用iftop查看对外的网卡eth1的流量变化,发现是sunrpc的出入ip很多国外的ip十分可疑,sunrpc使用的端口是111。
2.使用netstat查看端口
sudo netstat -na
发现111端口的udp是对外开放的。
3.查看111端口进程有哪些.
sudo lsof -i:111
发现是一个rpcbind的服务进程,上网查询发现 PortMapper被滥用进行大规模DDoS攻击 相关的文章.
4.暂时禁用rpcbind服务
sudo systemctl stop rpcbind.service
现在就是等待,看还有没有反射攻击报警了...