Anzahl Verbindungen zum Server mit netstat und awk ermitteln
Dienstag, 12. Juli 2011 18:34
Um herauszufinden, ob das momentane Serverlag möglicherweise nicht mit dem letztens hochgeladenen Script, sondern vielleicht mit einer böswilligen Denial of Service (DoS) zusammenhängt, ermittelt man die Verbindungen üblicherweise mit netstat. DoS-Attacken sind sehr viele Anfragen an den Server (z.B. Webserver auf offenem Port 80) von einer IP-Adresse, so dass dieser ob der Masse an Anfragen nicht mehr oder nur noch sehr langsam reagiert.
Da netstat allerdings sehr viele Daten ausspuckt, empfiehlt es sich, die Dtaen mit grep zu filtern (z.B. nach Port 80):
Als weiterer Filter empfiehlt sich awk. Hier können bspw. alle übrigen Infos außer der IP-Adresse weggefiltert werden:
'{print $5}' spuckt hier die 5te Spalte von links aus.
Mit dem folgenden Kommando zählen wir nun die identischen IPs zusammen und haben eine nette Zusammenfassung über Anzahl der Verbindungen der IP-Adressen:
PLAIN: (Auswählen)
netstat -tapn
Da netstat allerdings sehr viele Daten ausspuckt, empfiehlt es sich, die Dtaen mit grep zu filtern (z.B. nach Port 80):
PLAIN: (Auswählen)
netstat -tapn | grep :80
Als weiterer Filter empfiehlt sich awk. Hier können bspw. alle übrigen Infos außer der IP-Adresse weggefiltert werden:
PLAIN: (Auswählen)
netstat -tapn | grep :80 | awk '{print $5}'
'{print $5}' spuckt hier die 5te Spalte von links aus.
Mit dem folgenden Kommando zählen wir nun die identischen IPs zusammen und haben eine nette Zusammenfassung über Anzahl der Verbindungen der IP-Adressen:
PLAIN: (Auswählen)
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Zuletzt editiert:Dienstag, 12. Juli 2011 18:36
Signatur:\\\"I have not failed. I\\\'ve just found 10,000 ways that won\\\'t work.\\\" - Thomas Alva Edison (1847-1931)