@Flanker381

Вывод netstat в Debian. Что значат строки?

Доброго времени суток. Периодически возрастает нагрузка на сервер под управлением Debian 7. Такое впечатление, будто идет ДДОС.
10serv.com/borba-s-ddos-atakoy-s-pomoshhyu-d-dos-d...
Из этой статьи взял команду на вывод количества текущих соединений с различными ip. Получил такой вывод:
9234c333b67344bb8b1798900342d527.png
Как только STREAM больше 200, серверу становиться плохо.
Собственно, что означают строки STREAM и DGRAM? У автора статьи их в выводе нет.
На сервере крутиться значительное число крон-задач, около 100 одновременно на пике, на подобный рост нагрузки происходит в непиковое время. Также значительно отъедается оперативная память и место в свопе в эти моменты.
  • Вопрос задан
  • 530 просмотров
Пригласить эксперта
Ответы на вопрос 2
@Power
Посмотрите сами на вывод команды
netstat -n
и вы поймёте, что STREAM и DGRAM относятся к unix-сокетам, которые не имеют отношения к сетевым соединениям.
Более правильная команда будет такой:
netstat --protocol=inet,inet6 -n | tail -n +3 | awk '{print $5}'|awk -F: '{print $1}' | sort -n | uniq -c | sort -nr | head -n10

но и то она споткнётся на адресах вида ::ffff:192.168.1.1.
Ответ написан
Комментировать
@Flanker381 Автор вопроса
В обеих вариантах команды есть строка без ip адреса:
4bf6b0d40d1f4934b6e5cf2d6e53487d.png
Подскажите, какие соединения относятся к ним?

TCP-соединение может быть только внешним? Скрипт Ddos-Deflate, описанный в этой статье 10serv.com/borba-s-ddos-atakoy-s-pomoshhyu-d-dos-d..., вообще не реагирует в момент резкого скачка нагрузки.
Опять же, это не "живой" трафик. Подобное случается даже по ночам, когда посетителей почти нет. Внешний пинг сервера запретил. В iptables ограничил количество TCP-соединений на 80 порт с одного ip до 15:
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы