Вывод netstat в Debian. Что значат строки?

Question

[Flanker381]

Доброго времени суток. Периодически возрастает нагрузка на сервер под управлением Debian 7. Такое впечатление, будто идет ДДОС.
10serv.com/borba-s-ddos-atakoy-s-pomoshhyu-d-dos-d...
Из этой статьи взял команду на вывод количества текущих соединений с различными ip. Получил такой вывод:

Как только STREAM больше 200, серверу становиться плохо.
Собственно, что означают строки STREAM и DGRAM? У автора статьи их в выводе нет.
На сервере крутиться значительное число крон-задач, около 100 одновременно на пике, на подобный рост нагрузки происходит в непиковое время. Также значительно отъедается оперативная память и место в свопе в эти моменты.

Answer 1

[Power]

Посмотрите сами на вывод команды
netstat -n
и вы поймёте, что STREAM и DGRAM относятся к unix-сокетам, которые не имеют отношения к сетевым соединениям.
Более правильная команда будет такой:

netstat --protocol=inet,inet6 -n | tail -n +3 | awk '{print $5}'|awk -F: '{print $1}' | sort -n | uniq -c | sort -nr | head -n10

но и то она споткнётся на адресах вида ::ffff:192.168.1.1.

Answer 2

[Flanker381]

В обеих вариантах команды есть строка без ip адреса:

Подскажите, какие соединения относятся к ним?

TCP-соединение может быть только внешним? Скрипт Ddos-Deflate, описанный в этой статье 10serv.com/borba-s-ddos-atakoy-s-pomoshhyu-d-dos-d..., вообще не реагирует в момент резкого скачка нагрузки.
Опять же, это не "живой" трафик. Подобное случается даже по ночам, когда посетителей почти нет. Внешний пинг сервера запретил. В iptables ограничил количество TCP-соединений на 80 порт с одного ip до 15:
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable