iptables - Viele Verbindungen von Nichts?!

Rund um die Sicherheit des Systems und die Applikationen
Anonymous

iptables - Viele Verbindungen von Nichts?!

Post by Anonymous » 2008-01-18 14:51

Guten Abend,

ich heiße F-niX und habe ein Problem mit meinem Server. Mein Hoster konnte mir da auch nicht wirklich helfen, darum habe ich mich selber auf die Suche nach Hilfe gemacht.

Es geht also um Folgendes:
Ich nutze CentOS. Gestern abend als ich meine Seite wieder für die Öffentlichkeit zugänglich machte, wurde der Server plötzlich sehr langsam.
Ich habe mich also per Putty über SSH eingeloggt und mir die Verbindungen mit dem Befehl "netstat -anp |grep 'tcp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n" anzeigen lassen. Dann wurde mir das hier ausgegeben:

1 209.9.238.41
1 69.65.40.19
1 70.84.228.215
2 131.252.208.96
4 72.21.40.11
4 91.49.18.65
16 0.0.0.0
970

970 Verbindungen von irgendetwas, leider steht keine IP dahinter. Somit kann ich sie auch nicht banne. Mein Hoster sagte, das ich diesen Befehl mal ausprobieren sollte, da würde mir die IP zu 100% angezeigt werden: "netstat -tn --inet 2> /dev/null| grep ":80" | awk '/tcp[ ]*[0-9]+[ ]*[0-9]+[ ]+[^ ]+[ ]*[^ ]*/ { print $5; }' | cut -d":" -f1 | sort | uniq -c | sort -n"

Tja, Pustekuchen. Die Verbindungen schwanken zwischen 400 und 900. Kennt ihr vielleicht eine Möglichkeit wie ich sie mir noch anzeigen lassen könnte, bzw. wie ich sie per iptables sperren könnte? Irgendwas muss es da doch geben.

Mit freundlichen Grüßen
F-niX

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: iptables - Viele Verbindungen von Nichts?!

Post by EdRoxter » 2008-01-18 15:19

Das hängt mit den ganzen Pipes zusammen, die filtern. Wenn du mal

Code: Select all

netstat -anp |grep 'tcp'


eingibst, wirst du sehen, dass da mit Sicherheit einige IPv6-Adressen stehen, die so aussehen:

Code: Select all

xxxx:xxxx:xxxx:*


Diese werden von

Code: Select all

cut -d: -f1


abgeschnibbelt (Doppelpunkte am Anfang), womit dann eine Leerzeile herauskommt, die aber trotzdem von den nächsten Befehlen mitgezählt wird.

Das heißt also, dass die Verbindungen nicht "nirgendwo" hin gehen (was sowieso unmöglich ist), sondern eben zu IPv6-Adressen, die durch deine Konsoleneingabe zu einem Leerstring verarbeitet werden.