|
Linux服務器向外狂發arp包的問題
昨天突然發現托管在電信IDC機房的服務器全部都無法訪問,ssh也連不上,心想電信又出這操蛋的故障了,趕緊打電話詢問怎麼回事。結果電信折騰了一上午,壞了好,好了壞,壞了又好,好了又壞,反反覆覆的。。。最後電信終於查出問題了,原來是我們有一台服務器在向外瘋狂的發arp包,造成網絡阻塞,同網段的所有服務器全部無法訪問,電信的客服電話都被打爆了。最後電信把我們的線給掐了,不得已只得趕往現場解決吧。
到了IDC機房一查,發現是一台VMWARE SEX宿主機在向外狂發arp包,tcpdump -nn -i vswif0抓包查看時,屏幕刷刷的滾,完全看不清,暫停後發現全是arp包。於是想到是不是網關被劫持?用“arp -s 網關IP地址 網關MAC地址” 命令來顯式的綁定網關的IP和MAC,結果線一插上整個網段又一次全部癱瘓。不得已只得仔細排查進程、查看ip連接和socket連接信息,突然發現有一個很奇怪的TCP服務,其對外服務的IP卻不是本機的,而是一個不知名的外部IP,而這個IP在這台服務器上從來沒有用過,於是想到這是不是被惡意植入到服務器中的病毒、木馬程序?再看這個服務的提供者,發現是slpd,經查,這好像是一個輔助打印服務,先停止看看吧。於是kill -9 殺掉它的進程,之後重新插上網線,不這的監控了有3小時之久,發現整個網段恢復正常了。於是用 chkconfig --list|grep slpd 查看了一下,發現slpd是系統自動啟動的服務,於是 chkconfig slpd off 取消自啟動。 |
|
|
