ניסוי קטן עם NETSTAT - הוסטס

elialum · 04-03-12, 21:47

היי,

כתבתי סקריפט קטן ב-PERL, שדוגם כמה חיבורים פתוחים יש לשרת על פורט 80.
הקוד קורא לפקודה הבאה -

קוד:

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -n

אח"כ, הגדרתי שיישלח לי מייל, במידה וכמות החיבורים לכתובת IP ייחודית עולה על מספר מסויים.
הרצתי את זה במקביל על 2 שרתי WEB, כל אחד מכיל בממוצע 1000 דומיינים.
שרת אחד עובד רק עם apache, בשרת אחר הוגדר varnish בנוסף.

מעל 60 חיבורים לכתובת IP ייחודית -

זה רץ כל הלילה, קיבלתי כמה עשרות מיילים.

מעל 150 - עדיין מקבל, בטיפטופים.

מעל 250 - עדיין מקבל, הפעם ממש בודדים כל כמה שעות.

כרגע זה על 350.

סטטיסטית, השרת עם ה-varnish יותר רגיש לעניין (קיבלתי יותר התראות ממנו).

מספרים הגיוניים, או שאני מפספס כאן משהו ?

Kernel · 04-03-12, 22:05

כל דפדפן פותח בין 2-8 חיבורים.
בהנחה ובשניהם יש keepalive אז כנראה שבשרת אחד יש יותר גולשים מסלולרים שגולשים מאחורי NAT.

אבי

elialum · 04-03-12, 23:40

היי,

אני לא חושב שזה העניין (nat \ סלולרי).
חסמתי חלק מהכתובות, כדי לראות את מי זה מציף.
אחרי 5 דקות קיבלתי 2 פניות ממשתמשים. תחקרתי אותם קצת - משתמשים ביתיים נורמטיביים, אינטרנט בייתי HOT \ ADSL.
NAT מקומי של 2-3 מחשבים.

עדיין אני לא מבין איך זה מגיע ל-250 חיבורים ?

**דניאל** · 04-03-12, 23:44

למה אתה בודק את כל סוגי החיבורים ולא רק Established למשל?
מכיוון שאתה מסתכל על כל סוג חיבור- התשובה הגיונית.

שים לב שאתה לא תוכל לבנות "one script to rule them all".. פשוט בגלל שאם אתה בודק Established - אתה מדוייק יותר,
אבל אתה מפספס לגמרי syn attack.

04-03-12, 21:47	# 1
elialum חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Apr 2007 מיקום: מעלה אדומים גיל: 46 הודעות: 132	ניסוי קטן עם NETSTAT היי, כתבתי סקריפט קטן ב-PERL, שדוגם כמה חיבורים פתוחים יש לשרת על פורט 80. הקוד קורא לפקודה הבאה - קוד: netstat -plan\|grep :80\|awk {'print $5'}\|cut -d: -f 1\|sort\|uniq -c\|sort -n אח"כ, הגדרתי שיישלח לי מייל, במידה וכמות החיבורים לכתובת IP ייחודית עולה על מספר מסויים. הרצתי את זה במקביל על 2 שרתי WEB, כל אחד מכיל בממוצע 1000 דומיינים. שרת אחד עובד רק עם apache, בשרת אחר הוגדר varnish בנוסף. מעל 60 חיבורים לכתובת IP ייחודית - זה רץ כל הלילה, קיבלתי כמה עשרות מיילים. מעל 150 - עדיין מקבל, בטיפטופים. מעל 250 - עדיין מקבל, הפעם ממש בודדים כל כמה שעות. כרגע זה על 350. סטטיסטית, השרת עם ה-varnish יותר רגיש לעניין (קיבלתי יותר התראות ממנו). מספרים הגיוניים, או שאני מפספס כאן משהו ? __________________

04-03-12, 22:05	# 2
Kernel אושיית הוסטינג דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בקעת אונו הודעות: 2,429	כל דפדפן פותח בין 2-8 חיבורים. בהנחה ובשניהם יש keepalive אז כנראה שבשרת אחד יש יותר גולשים מסלולרים שגולשים מאחורי NAT. אבי __________________ אבי

04-03-12, 23:40	# 3
elialum חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Apr 2007 מיקום: מעלה אדומים גיל: 46 הודעות: 132	היי, אני לא חושב שזה העניין (nat \ סלולרי). חסמתי חלק מהכתובות, כדי לראות את מי זה מציף. אחרי 5 דקות קיבלתי 2 פניות ממשתמשים. תחקרתי אותם קצת - משתמשים ביתיים נורמטיביים, אינטרנט בייתי HOT \ ADSL. NAT מקומי של 2-3 מחשבים. עדיין אני לא מבין איך זה מגיע ל-250 חיבורים ? __________________

04-03-12, 23:44	# 4
דניאל מנהל ראשי דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: ראשון לציון גיל: 41 הודעות: 6,503	למה אתה בודק את כל סוגי החיבורים ולא רק Established למשל? מכיוון שאתה מסתכל על כל סוג חיבור- התשובה הגיונית. שים לב שאתה לא תוכל לבנות "one script to rule them all".. פשוט בגלל שאם אתה בודק Established - אתה מדוייק יותר, אבל אתה מפספס לגמרי syn attack. __________________ דניאל דוא"ל: dannyg@sPD.co.il sPD Hosting בע"מ \| אחסון אתרים \| בלוג אחסון אתרים טלפון להזמנות: 1-599-559977


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)