bekkou68 の日記

Gogengo! や IT 技術など。

UDP Flood しているプロセスのプロセスIDを特定するまで

はじめに

さくらVPSUDP Flood 攻撃を受けた時に使ったコマンドのメモです。

手順

そもそも意図しない UDP パケットを送っているかの確認。

$ sudo tcpdump -n udp
...
...
# 大量に吐かれていた。これはひどい。。
...
...

次にどのプロセスで送っているのかで調べる。

$ sudo netstat -a -u -n --program
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
udp        0      0 xx.xx.xx.xx:48894        yy.yy.yy.yy:53            ESTABLISHED 25949/root

プロセスID 25949 のプロセスが犯人だ!