UDP Flood しているプロセスのプロセスIDを特定するまで
はじめに
さくらVPS で UDP Flood 攻撃を受けた時に使ったコマンドのメモです。
手順
そもそも意図しない UDP パケットを送っているかの確認。
$ sudo tcpdump -n udp ... ... # 大量に吐かれていた。これはひどい。。 ... ...
次にどのプロセスで送っているのかで調べる。
$ sudo netstat -a -u -n --program Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name udp 0 0 xx.xx.xx.xx:48894 yy.yy.yy.yy:53 ESTABLISHED 25949/root
プロセスID 25949 のプロセスが犯人だ!