阿里云经常发邮件说我的机子“由于被检测到对外攻击，已阻断该服务器对其它服务器端口 UDP:ALL）”是怎么回事？

机子上只装了 postfix 对外端口并改了端口号和一个自已写的爬虫，没有其它对外监听端口。
最近几个星期经常隔几天收到一个邮件：

“”“
您的云服务器（ XXX ）由于被检测到对外攻击，已阻断该服务器对其它服务器端口（ UDP:ALL ）的访问，阻断预计将在 XXX 时间内结束，请及时进行安全自查。若有疑问，请工单或电话联系阿里云售后，感谢您对阿里云的支持。
”“”

每次被阻时间虽不长，我也没采取措施就好了（其实是我根本不知道哪有被攻击的点啊，只装了个 postfix ），过几天再来一次，但是很烦不是？

PS. 机子用了 5M 固定带宽，流量有时大有时小。

kernel

2018-08-23 08:44:58 +08:00

另外我发现了，每次都是早上 6 点前一段时间，是我的爬虫工作最忙的点（同时会把数据发到另一机房），基本 5M 用满，平时流量不大。
难道是因为阿里云发现我平时流量不大一到那个时间点连着 4 小时左右大流量就认为我是在发攻击？

这是最近二个月开始有这消息，以前还没有，感觉可能是最近新上的功能。

kernel

2018-08-23 08:47:09 +08:00

@tatelucky 因为实际上似乎没有对我的爬虫产生影响，也没有报错，发生的时间每次都是我在睡觉时也办法上去看看网络情况

opengps

2018-08-23 09:01:47 +08:00

服务器里有向外发 udp 协议数据的程序，这种情况误判可能性不大，还是找你们网工查查吧
我能提供的思路是分时段使用 netstat 命令，找出 udp 对外发数据的进程 id，逐一排查进程是不是可信的

imn1

2018-08-23 09:07:03 +08:00

都是语文没学好么？
「对外攻击」，不是被攻击，就是你是主动发起方，你爬虫频率太高了吧？

kernel

2018-08-23 09:36:59 +08:00

@opengps 所有发通知的时间和我爬虫的高峰是一致的，应该是误判。

@imn1 我不就是说的这情况？另外我爬虫频率不高，只是流量大一点（再大也是 5M，能大到哪里去），而且我只连接固定不到 5 个网站。

@lujjjh 没有 UDP 服务，只有 postfix 和一个默认端口 111 的 rpcbind，别人应该不能借路

opengps

2018-08-23 09:47:15 +08:00

@kernel 不排除误判可能
另外你的爬虫应该用不到 udp 协议吧，网站爬虫都是 7 层 http （ https ），基于 4 层 tcp 的
触发检测规则的应该不是你的爬虫

lujjjh

2018-08-23 10:19:44 +08:00

@kernel 默认开启的端口才是最危险的……我一开始也以为我的是误判（似乎不购买收费服务就看不到源端口和目标端口），机器上只开启了 ntpd 和 rpcbind。

但是我研究了下阿里云的网络流量监控，发现阿里云给出的疑似攻击的点出流量和入流量成正比，很像是反射攻击。你可以看看你的异常点的入流量是否正常。

ntpd 和 rpcbind 因为协议设计原因都可以用来反射攻击： https://www.aqniu.com/threat-alert/9897.html

shenkai600

2018-08-23 16:07:50 +08:00

这个报警一般就是被黑了，做一下安全组，sshkey 也换一套吧，进程定时任务系统日志什么的都查一套。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/482363

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.