Dotaz: jak postupovat pri potizich(odezva,dos,..)se serverem?

Zdravim :), zrovna dneska jsem mel mensi potiz se serverem an kterem bezi mailserver..nejaky ten imap,pop server, apache atd.. Najednou nebyly dostupne sluzby a byl jsem rad ze jsem se pripojil na ssh. Krome ssh ( diky bohu za to ) se nedarilo navazat in/out zadne spojeni.

Jak byste postupovaly po prihlaseni? Rad bych kdyby se toto vlakno rozvinulo do ruznych tipu pro administratory jak pri tomto postupovat...jiste..koupit knihu bezpecnost v linuxu a precist si ji se uz nejakou dobu chystam, googluju a ctu tuto tematiku take.. :)..ale tak proc se nepobavit na foru :)

Uz sem se parkrat setkal se zamrznutim na jinem serveru...tam to bylo nejspis prilis mnoha nezavrenyma spojenima...to mi poradil netstat kde jsem videl velkou spoustu nezavrenych soketu ve stasvu CLOSE_WAIT.

Ale tentokrat netstat -a jel fakt desne pomalu...kazde spojeni mu trvalo zobrazit treba 10 sekund..a jen co se dostal k poslouchajicimu popu tak dalsi uz nezobrazil vubec. Nemel jsem cas tak jsem v rychlosti kouknul na ps aux..do syslogu, auth.logu ale nic podezreleho...

ted si uvedomuju ze jsem mel kouknout na tcpdump kdyz me netstat zklamal..ale nakonec jsem teda rebootnul - uzivatele vypadek neoceni..a ja byl v praci tak jsem nemohl hodinu googlit :).

Co byste udelali jinak? Jaky dalsi postup byste pouzili?? Mate nejaky oblibeny link kde tyto informace jsou vystizne popsany? ( google neni odpoved ;)

stavovy firewall ktery dropuje syn pakety pokud je jich vic nez --limit 1/s --limit-burst 4 nastaveny mam... Dik..doufam, ze zkuseni borci poradi ;)

Pokud je nouze o spojení a počítač je přetížený, rozhodně není dobrý nápad pouštět netstat -a, který se bude snažit resolvovat každou IP adresu . Moje oblíbená kombinace pro netstat je -avnep.

Pak by mělo stačit zastavit službu co to způsobila a nastavit jí tak aby se to neopakovalo .