不久前有個朋友來電求救
問題狀況是之前幫他架的proxmox裡的guest
主要服務是mail及dns
只要一開机
所有的網路就動不了
他懷疑是不是主机被hack了
但因為只要一開机網路就死了
所以在想要怎麼連進去
最後請他先把guest關机
讓我能進到proxmox的管理介面先把guest的網卡停掉
再把guest boot
初步看了一下
並沒有看到被hack的情況
接下來把網卡enable
在rc.local加上
iptables -I OUTPUT -j DROP
reboot把網卡起起來
用tcpdump看到好多來自某個subnet ip的request
dos攻擊沒錯了
一樣用iptables在input擋掉
再把之前加的OUTPUT拿掉
恢復正常
目前就先醬
如果攻擊者換了subnet就再說了
但一個小公司
怎麼會有人無聊到dos port 53
不解

總結
1. 先drop output packet
2. 使tcpdump看 input packet
3. 決定對策