ssh登錄到服務器的時候，頻繁的延遲掉線，登陸到防火墻上面去看，發現防火墻的外網口子流量達到了800M/s，經檢查發現有一臺服務器的流量很大。流量如此之大會帶來嚴重的后果：由于消耗了過多的網絡資源，訪問網站首頁和上面的應用速度很慢，遠程到服務器上頻繁的掉線。必須立即處理。

在流量不大的時候趕緊登錄到該服務器上（流量大的時候，根本無法ssh）抓包操作

1、cat /proc/net/bonding/bond0，首先查詢是哪個網卡在用，因為服務器做的是eth0和eth1雙網卡綁定。

2、/usr/sbin/tcpdump -i eth0 -s 0 -w package.cap，假如用的是網卡eth0，進行抓包操作。

將抓取的數據包進行分析，發現是服務器不停的向一個公網IP地址發送大量的7000端口的udp數據包，我們的服務器變成了DOS攻擊的“肉雞”了，不僅僅造成了自己的網絡近乎癱瘓，而且還攻擊了別人。

臨時采取的防范措施就是：利用iptables阻止服務器向外發送udp數據包。然后再查找應用，查找漏洞清除木馬文件。

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -j ACCEPT

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -P OUTPUT DROP

這個規則就是阻止了除了DNS要用到的53端口的其他一切udp端口，因為在此之前做了只是封掉7000端口，等會兒發現攻擊改變了端口。

第二步就是要檢查應用和服務器漏洞了。

在服務器流量很大的時候分析本地新增哪些udp端口

netstat -lpnut|grep udp

查找出了是1833端口，然后根據1833端口查找相關的進程

ps -ef|grep 1833

得出的進程為freebsd

然后根據進程查找所對應的應用的位置

lsof | grep -i freebsd

這個時候居然查找到的目錄是tomcat下面運行的一個正常的應用。