Muitas conexoes...

[Murilo Araujo Gomes]

ola galera, seguinte o meu link de 512 sempre esta a 72% de utilizacao pra mais.. Observando pelo iptraf eu verifiquei que SEMPRE tenho MUITAS conexoes vindo de varios ips e sempre da porta :80.. que tipo de conexão pode ser essa?
Vejam iptraf:
│┌143.108.13.112:80 > 41 59192 CLOSED eth1 │
│└Meu Ip:37389 > 31 1336 RESET eth1 │
│┌200.221.8.4:80 = 19 23249 CLOSED eth1 │
│└Meu Ip:38299 = 15 1117 RESET eth1 │
│┌Meu Ip:38049 = 5 864 --A- eth1 │
│└200.155.2.66:80 = 3 420 -PA- eth1 │
│┌200.221.8.5:80 = 5 3787 CLOSED eth1 │
│└Meu Ip:38309 = 6 755 RESET eth1 │
│┌200.155.2.66:80 = 3 585 -PA- eth1 │
│└Meu Ip:37487 = 6 905 RESET eth1 │
│┌200.221.8.5:80 = 0 0 ---- eth1 │
│└Meu Ip:38303 = 1 40 RESET eth1 │
│┌Meu Ip:37401 = 0 0 ---- eth1 │
│└200.176.131.9:80 > 2 958 -PA- eth1 │
│┌Meu Ip:37952 = 5 864 --A- eth1 │
│└200.155.2.66:80 = 3 420 -PA- eth1 │
│┌200.155.2.66:80 = 3 420 -PA- eth1 │

[lss]

conexoes na sua porta 80, o seu site , qualquer um tem acesso?
utilize o tcpdump para maior analise,
tcpdump dst port 80
Caso voce queira restringir acesso a sua porta 80 utilize regras de iptables para filtrar.
Qualquer coisa poste ae.

[Murilo Araujo Gomes]

Iss,
Legal.. valeu esse comando eim!
Agora tira uma duvida, o que ele mestra ali é soh ENTRADA na porta 80 ou saidas tambem ? tipo algum usuario acessando um site qualquer?


Valeu

[lss]

ele e entrada e saida na porta 80.
da um man tcpdump que ele tem opcao pra kct..
valeus

Para traficos mais detalhados use o ntop Ele é animal, se sua distribuicao é baseada em rpm(como conectiva,redhat,caldera etc..). Use o apt-get

apt-get install ntop

depois

ntop -P /tmp -u nobody -i eth0&

va em seu navegador e coloque: http://ip_do_server:3000/

e divirta-se