Судя по логу, нужно смотреть в "tcpdump -i ВНЕШНИЙ_ИНТЕРФЕЙС 'port 80'" за 5 минут. Сравнивайте с обычной статистикой посещений.
Ваш сервер не на Hetzner'е ли? 15 ноября 2012 г., 23:43 пользователь Belskii Artem <[email protected]> написал: > А вам не кажется, что вас пытаются за ДДоСить? С 176.241.84.1, >> например, около 90 SYN_RECV. >> > > Вожможно что и так, но меня больше волнует то, что > netstat -an | grep tcp | awk '{print $5}' | cut -d: -f1 | sort -n | uniq > -c | more > > среди прочего показывает > > 11742 127.0.0.1 > > при чем что там коннекты такого вида: > tcp 0 0 127.0.0.1:45465 127.0.0.1:9000 TIME_WAIT - > > > > С уважением, > Бельский Артем. > > > -- > To UNSUBSCRIBE, email to > debian-russian-REQUEST@lists.**debian.org<[email protected]> > with a subject of "unsubscribe". Trouble? Contact > [email protected] > Archive: > http://lists.debian.org/**[email protected]<http://lists.debian.org/[email protected]> > >
