Добрый день!Очень прошу помочь - ответив на пару вопросов. ОС - Дебиан
Ситуация: взял выделенный сервер, достаточно мощный (8 ГБ ОЗУ, 4-х ядерный проц) - все это под один сайт/форум. До этого был на обычном хостинге
Первый день после переезда - полет нормальный, при 300-х человек онлайна на форуме + 30-40 на CMS - загрузка по озу порядка 600-900 МБ, отдача мгновенная
Второй день: посыпались ошибки базы, загрузка озу - 1,5 ГБ (это то при в два раза меньшем онлайне, 150-180), сразу понял что лимит подключений к базе был мал - увеличил, помогло но слабо
Использовал команду :
netstat -ntu |awk '{print $5}' |cut -d: -f1 | sort | uniq -c | sort -nПоказало много IP, у каждого по несколько висящих конектов (до 100). Одна проблема - я не могу вспомнить что точно эта команда показывает - или это полуоткрытые конекты вроде того что показывает:
netstat -n -p TCP | grep SYN_RECV | grep :23 | wc -lИли что-то иное
Прошу объяснить, что конкретно показывает данная команда (первая). Результат вида [количество конектов] : [IP]И можно ли на основании данных результатов банить эти IP?
Как я понял - это ддос но не SYN, т.к вторая команда показывает всего-то 5-7 полуоткрытых конектов (при SYN атаке с одного зомби-компа эта цифра порядка 50-100)
Очень надеюсь на помощь :)
Читать до просветления:
http://segfault.kiev.ua/smart-questions-ru.html#symptomsЩеголяние умными словами без их понимания ничего кроме раздражения у специалистов не вызывает.
>Использовал команду :
> netstat -ntu |awk '{print $5}' |cut -d: -f1 | sort | uniq -c | sort -n
>Прошу объяснить, что конкретно показывает данная команда (первая). Результат вида >[количество конектов] : [IP]Попытайтесь выполнять эту команду по частям ...
сначала
netstat -ntuпотом
netstat -ntu |awk '{print $5}'и т.д.
Проанализируйте как меняется вывод команды с добавлением каждого следующего блока. Вторая команда вообще ниочем.