Добрый день!

Очень прошу помочь - ответив на пару вопросов. ОС - Дебиан

Ситуация: взял выделенный сервер, достаточно мощный (8 ГБ ОЗУ, 4-х ядерный проц) - все это под один сайт/форум. До этого был на обычном хостинге

Первый день после переезда - полет нормальный, при 300-х человек онлайна на форуме + 30-40 на CMS - загрузка по озу порядка 600-900 МБ, отдача мгновенная

Второй день: посыпались ошибки базы, загрузка озу - 1,5 ГБ (это то при в два раза меньшем онлайне, 150-180), сразу понял что лимит подключений к базе был мал - увеличил, помогло но слабо

Использовал команду :
netstat -ntu |awk '{print $5}' |cut -d: -f1 | sort | uniq -c | sort -n

Показало много IP, у каждого по несколько висящих конектов (до 100). Одна проблема - я не могу вспомнить что точно эта команда показывает - или это полуоткрытые конекты вроде того что показывает:
netstat -n -p TCP | grep SYN_RECV | grep :23 | wc -l

Или что-то иное

Прошу объяснить, что конкретно показывает данная команда (первая). Результат вида [количество конектов] : [IP]

И можно ли на основании данных результатов банить эти IP?

Как я понял - это ддос но не SYN, т.к вторая команда показывает всего-то 5-7 полуоткрытых конектов (при SYN атаке с одного зомби-компа эта цифра порядка 50-100)

Очень надеюсь на помощь :)