Приветствую! Сегодня я хочу поделиться своим опытом анализа сетевой активности сервера.
Цель:
- Получить информацию о количестве подключений и запросов к веб-серверу.
- Выявить IP-адреса, с которых поступает наибольшее количество запросов.
- Обработать лог-файлы сервера для более детального анализа.
Инструменты:
- Команда
netstat - Команда
ss - Текстовый редактор (например,
nano)
Этапы:
-
Сбор информации:
-
Список установленных соединений:
netstat -an | grep ESTABLISHED -
Список TCP-соединений:
netstat -ant | grep TCP -
Список IP-адресов:
netstat -an | awk '{print $5}' | sort | uniq -c | sort -nr
-
-
Анализ:
-
Исключение адресов с малым количеством подключений:
Из списка IP-адресов можно исключить те, с которых было менее N подключений (например, N = 10).
-
Обработка лог-файла:
Лог-файл сервера можно просмотреть с помощью текстового редактора, чтобы найти записи о подозрительных или異常ных подключениях.
-
-
Дополнительные возможности:
-
Команда ss:
Команда
ssпозволяет просматривать активные входящие сокеты unix. -
Фильтрация по IP-адресу:
Можно использовать команды
netstatиssс опцией-fдля фильтрации по IP-адресу.
-
Пример:
netstat -an | grep ESTABLISHED | awk '{print $5}' | sort | uniq -c | sort -nr | head -n 10
Эта команда выводит список 10 IP-адресов, с которых было наибольшее количество установленных соединений.
Важно:
- При анализе сетевой активности сервера важно понимать, какие IP-адреса являются легитимными, а какие могут быть потенциально опасными.
- Необходимо регулярно просматривать лог-файлы сервера для выявления подозрительной активности.
Заключение:
Анализ сетевой активности сервера позволяет получить ценную информацию о том, кто и как подключается к серверу. Эта информация может быть использована для обеспечения безопасности сервера и оптимизации его производительности.