Šiame informaciniame straipsnyje pateikiame įrankio "netstat" komandas kurios pagelbės nustatyti ar su Jūsų serveriu yra vykdomi nepageidaujami susijungimai.
Parodyti visus aktyvius susijungimus su serveriu:
netstat -na
Parodyti visus aktyvius susijungimus su serveriu, kurie yra įvykdyti per 80 prievadą:
netstat -an | grep :80 | sort
Gauta informacija yra naudinga, kai didelį kiekį susijungimų inicijuoja vienas IP adresas.
Parodyti kiek serveryje yra aktyvių SYN_RECV:
netstat -n -p | grep SYN_REC | wc -l
Šis skaičius turėtų būti pakankamai žemas, tačiau normali vertė priklausomai nuo sistemos gali varijuoti.
Parodyti su kokiais IP adresais yra vykdomas SYN_RECV:
netstat -n -p | grep SYN_REC | sort -u
Pateikti visų unikalių IP adresų siunčiančių SYN_RECV susijungimo statusą sąrašą:
netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
Parodyti kiek susijungimų kiekvienas IP adresas atlieka su serveriu:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Parodyti kiek susijungimų su serverių atlieka IP adresai naudojant TCP ar UDP protokolą:
netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Parodyti tik įvykdytus susijungimus kiekvienam IP adresui:
netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
Parodyti visus susijungimus su serveriu ir jų kiekį, kurie yra įvykdyti per 80 prievadą:
netstat -plan | grep :80 | awk {'print $5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1
Jeigu aptikote nepageidaujamus susijungimus - juos galite blokuoti naudojant pasirinktą ugniasienę.
Trumpą pamoką apie ugniasienės (iptables) konfigūravimą rasite apsilankę šioje pamokoje.