Ich habe bisher keine Erklärung dafür finden können, eventuell hat hier jemand damit Erfahrung gemacht? Ich habe centOS 6.5.
Ich lasse mir alle Verbindungen zum Server anzeigen:
(Ist das dafür der sinnvollste Befehl? Siehe: http://blog.supportpro.com/2013/01/how-to-verify-ddos-attack-with-netstat-command/)
Ausgabe der letzten Zeilen:
Fragen:
1. Ich finde keinen Weg, mir die vollständigen IPv6 Adressen anzuzeigen, dementsprechend kann ich auch keine IPv6 Adressen per Firewall bannen. Ist das ein Bug in netstat?
2. Welcher Wert hier gilt überhaupt als "zuviel"? Ab welchen Wert merkt man das die IP dem Server schadet?
3.a. Kann mir jemand sagen was sich hinter dem localhost 127.0.0.1 verbirgt?
3.b. Selbe Frage zur eigentlichen Server-IP, denn der letzte Wert stellt ja die Gesamtverbindungen dar. Was genau soll er Wert bei Server-IP darstellen?
---
4. Kann man mit netstat nicht eigentlich ein Script schreiben, dass alle 5(?) Minuten den Aufruf macht und IP mit zuvielen Verbindungen automatisch in eine temporäre Banliste setzt? Also die IP mit Zeit in eine Datei einträgt (Log) und per Firewall bannt. Ein anderes Script wertet alle 1h(?) das Script aus und entbannt IPs die dort länger als 6h(?) drin stehen? Würde so etwas sinnvoll funktionieren?
Bin gespannt ob jemand dazu was sagen kann und würde mich freuen ein wenig besser die Werte zu verstehen.
Ich lasse mir alle Verbindungen zum Server anzeigen:
(Ist das dafür der sinnvollste Befehl? Siehe: http://blog.supportpro.com/2013/01/how-to-verify-ddos-attack-with-netstat-command/)
Ausgabe der letzten Zeilen:
Fragen:
1. Ich finde keinen Weg, mir die vollständigen IPv6 Adressen anzuzeigen, dementsprechend kann ich auch keine IPv6 Adressen per Firewall bannen. Ist das ein Bug in netstat?
2. Welcher Wert hier gilt überhaupt als "zuviel"? Ab welchen Wert merkt man das die IP dem Server schadet?
3.a. Kann mir jemand sagen was sich hinter dem localhost 127.0.0.1 verbirgt?
3.b. Selbe Frage zur eigentlichen Server-IP, denn der letzte Wert stellt ja die Gesamtverbindungen dar. Was genau soll er Wert bei Server-IP darstellen?
---
4. Kann man mit netstat nicht eigentlich ein Script schreiben, dass alle 5(?) Minuten den Aufruf macht und IP mit zuvielen Verbindungen automatisch in eine temporäre Banliste setzt? Also die IP mit Zeit in eine Datei einträgt (Log) und per Firewall bannt. Ein anderes Script wertet alle 1h(?) das Script aus und entbannt IPs die dort länger als 6h(?) drin stehen? Würde so etwas sinnvoll funktionieren?
Bin gespannt ob jemand dazu was sagen kann und würde mich freuen ein wenig besser die Werte zu verstehen.