Frage zu "netstat"

Azurel

Member
Ich habe bisher keine Erklärung dafür finden können, eventuell hat hier jemand damit Erfahrung gemacht? Ich habe centOS 6.5.

Ich lasse mir alle Verbindungen zum Server anzeigen:
(Ist das dafür der sinnvollste Befehl? Siehe: http://blog.supportpro.com/2013/01/how-to-verify-ddos-attack-with-netstat-command/)
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Ausgabe der letzten Zeilen:
21 *.253.24.12
47 2003
61 2a02
262 127.0.0.1
3906 Server-IP
5076
Fragen:

1. Ich finde keinen Weg, mir die vollständigen IPv6 Adressen anzuzeigen, dementsprechend kann ich auch keine IPv6 Adressen per Firewall bannen. Ist das ein Bug in netstat?

2. Welcher Wert hier gilt überhaupt als "zuviel"? Ab welchen Wert merkt man das die IP dem Server schadet?

3.a. Kann mir jemand sagen was sich hinter dem localhost 127.0.0.1 verbirgt?
3.b. Selbe Frage zur eigentlichen Server-IP, denn der letzte Wert stellt ja die Gesamtverbindungen dar. Was genau soll er Wert bei Server-IP darstellen?

---

4. Kann man mit netstat nicht eigentlich ein Script schreiben, dass alle 5(?) Minuten den Aufruf macht und IP mit zuvielen Verbindungen automatisch in eine temporäre Banliste setzt? Also die IP mit Zeit in eine Datei einträgt (Log) und per Firewall bannt. Ein anderes Script wertet alle 1h(?) das Script aus und entbannt IPs die dort länger als 6h(?) drin stehen? Würde so etwas sinnvoll funktionieren?

Bin gespannt ob jemand dazu was sagen kann und würde mich freuen ein wenig besser die Werte zu verstehen. :)
 

007sascha

New Member
Für die Firewall solltest du mal nach iptables in Verbindung mit limit und recent schauen, da brauchst kein extra Skript.
Bezüglich localhost und 127.0.0.1 solltest du dir mal die absoluten Grundlagen zum Netzwerk anschauen, habe gerade leider keinen Link zur Hand. Vorher würde ich aber die Finger von der Firewall lassen.
 

Azurel

Member
@vb-server
Das gibt mir leider so keinerlei Resultate zurück:
netstat -anp |grep 'tcp6\|udp6' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Selbst wenn es eine Ausgabe gäbe, würde die Ausgabe doch sicherlich weiterhin gekürzt sein.


@007sascha
Ich habe mich eventuell falsch ausgedrückt. Ich möchte lediglich gern wissen, wie ich rausbekomme, welche lokalen Services auf 127.0.0.1 gerade laufen. Mich würde interessieren was dort 262 Verbindungen benötigt. Das selbe mit der Server-IP Adresse. Ich hätte angenommen das alle Verbindungen von außen und 127.0.0.1 und 0.0.0.0 quasi das ist was man unter "Server-IP" verstehen würde.
 
Last edited by a moderator:
Top