有可能是误判,检查下出入口的流量

这个报警一般就是被黑了，做一下安全组，sshkey 也换一套吧，进程定时任务系统日志什么的都查一套。

@kernel 默认开启的端口才是最危险的……我一开始也以为我的是误判（似乎不购买收费服务就看不到源端口和目标端口），机器上只开启了 ntpd 和 rpcbind。

但是我研究了下阿里云的网络流量监控，发现阿里云给出的疑似攻击的点出流量和入流量成正比，很像是反射攻击。你可以看看你的异常点的入流量是否正常。

ntpd 和 rpcbind 因为协议设计原因都可以用来反射攻击： https://www.aqniu.com/threat-alert/9897.html

我们服务器之前是开放所有端口，好像是被当肉鸡了，重新加了安全组没事了

@kernel 不排除误判可能
另外你的爬虫应该用不到 udp 协议吧，网站爬虫都是 7 层 http （ https ），基于 4 层 tcp 的
触发检测规则的应该不是你的爬虫

@opengps 所有发通知的时间和我爬虫的高峰是一致的，应该是误判。

@imn1 我不就是说的这情况？ 另外我爬虫频率不高，只是流量大一点（再大也是 5M，能大到哪里去），而且我只连接固定不到 5 个网站。

@lujjjh 没有 UDP 服务，只有 postfix 和一个默认端口 111 的 rpcbind，别人应该不能借路

@imn1 反射攻击了解下，https://codehut.me/posts/Y3Vyc29yOjMx

爬虫频率太高不应该阻断 UDP

都是语文没学好么？
「对外攻击」，不是被攻击，就是你是主动发起方，你爬虫频率太高了吧？

多半是 UDP 反射攻击，不提供 UDP 服务的话可以直接禁掉入站的 UDP

服务器里有向外发 udp 协议数据的程序，这种情况误判可能性不大，还是找你们网工查查吧
我能提供的思路是 分时段使用 netstat 命令，找出 udp 对外发数据的进程 id，逐一排查进程是不是可信的

我也不知道如何排查，所以只能无视了。

以前免费用半年，我什么也没做，也会发安全提示给我。。。

只有 WP 和几个没啥流量的站，也同样收到消息。

@tatelucky 因为实际上似乎没有对我的爬虫产生影响，也没有报错，发生的时间每次都是我在睡觉时也办法上去看看网络情况

另外我发现了，每次都是早上 6 点前一段时间，是我的爬虫工作最忙的点（同时会把数据发到另一机房），基本 5M 用满，平时流量不大。
难道是因为阿里云发现我平时流量不大一到那个时间点连着 4 小时左右大流量就认为我是在发攻击？

这是最近二个月开始有这消息，以前还没有，感觉可能是最近新上的功能。

不是有客服吗？

怎么回事，让你买安骑士呗