Interpretation commande netsat

[Recif]

Bonjour,

Quelqu'un pourrait-il me donner l'interpretation de cette commande svp?

Code: Tout sélectionner

netstat -tapun | grep :80 | awk '{ print $5}' | cut -d : -f 1 | sort | uniq -c | sort -g | tail -n 100 |  grep -v 94.158

et de celle-ci?

Code: Tout sélectionner

for i in `netstat -tapun | grep :80 | awk '{ print $5}' | cut -d : -f 1 | sort | uniq -c | sort -g | tail -n 100 |  grep -v 94.158 | grep -v  83.196.203.32 | tail -n 20 |  awk '{ print $2}'`; do iptables -I INPUT -s $i -p tcp -j DROP; done

Merci

[kylliox]

Sans marc de café je dirais
que la première liste et tri des adresses ip connectées sur le port 80 en excluant celle commençant par 94.158
la seconde bloque ces mêmes adresses ip avec iptables

[Recif]

Sans sélection quelconque? La ligne bloque toutes les ips sans distinction (à part exclure celles qui commencent par 94.158)?

[kylliox]

Sur 200 ips qui se connecte les 20 premiers sont bloqués en excluant celle commençant par 94.158 et 83.196.203.32

[Recif]

Les 20 premiers par rapport à quoi?

[kylliox]

C'est la commande netstat qui te donne la liste des connexions active au moment où elle est lancé.

[Recif]

sans aucun ordre?

[Julia41]

netstat -tapun | grep :80 | awk '{ print $5}' | cut -d : -f 1 | sort | uniq -c | sort -g | tail -n 100 | grep -v 94.158

netstat = affiche les connexions
grep = filtre la chaine ":80" (port apache)
awk = affiche (print) le 5ème résultat
cut = coup la chaine avec le délimiter ":" et affiche le premier
sort = effectue un trie
uniq = n'affiche qu'une seule fois la même IP, en affichant le nombre de fois où elle est apparue.
sort = on classe cette fois ci
tail = on affiche 100 résultat (ça aurait pu se faire avec un grep --max-result=100)
grep = on cherche (mais vu que -v on exclus)

pour :
for i in `netstat -tapun | grep :80 | awk '{ print $5}' | cut -d : -f 1 | sort | uniq -c | sort -g | tail -n 100 | grep -v 94.158 | grep -v 83.196.203.32 | tail -n 20 | awk '{ print $2}'`; do iptables -I INPUT -s $i -p tcp -j DROP; done

C'est la même chose sauf que tu banni les 20 premières IPs trouvées (le filtre awk print 2 affichera uniquement l'IP sans le nombre de fois où elle est affichée).
Un peu débile comme méthode car si tu ne te fais pas attaquer, tu bannieras quand même des IPs.

[Recif]

Ah ben voilà qui est clair, merci Julia41!
En effet c'est ce que j'avais cru interpréter et c'est pour cela que je demandais... Ca vire tout le monde...
Pour le moment l'attaque semble s'être calmée, je croise les doigts...

[Julia41]

Ah ben voilà qui est clair, merci Julia41!
En effet c'est ce que j'avais cru interpréter et c'est pour cela que je demandais... Ca vire tout le monde...
Pour le moment l'attaque semble s'être calmée, je croise les doigts...

J'avais balancé ce script :
-https://admin-serv.net/blog/19/bloquer-des-attaques-ddos/
Tu matteras ça date un peu mais ça vire pas tout le monde, uniquement ceux qui font du SYN FLOOD et qui font plus de 5 connexions.

[Recif]

La page n'existe plus...

Code: Tout sélectionner

Not Found

The Requested file was not found

  The Requested file was not found on this server.


[Julia41]

La page n'existe plus...

Code: Tout sélectionner

Not Found

The Requested file was not found

  The Requested file was not found on this server.


Chez moi ça marche
J'ai un peu joué avec le serveur cet aprèm, ça vient ptete de là.

[Recif]

Bah moi je viens de réessayer à l'instant et toujours le même message...

[Julia41]

Problème de copier coller ?

[Recif]

Non non, c'est le premier truc auquel k'ai pensé...
J'ai mis : https://admin-serv.net/blog/19/bloquer-des-attaques-ddos