netstat で表示される「UNIX domain sockets」とは？

締切済

質問者：tanpopo012
質問日時：2010/02/18 04:50
回答数：1件

RHL4 apache で運用中です。

topコマンドでサーバーを監視していると、最近急に
tasksの値が上昇しサーバーが重くなります。

#　netstat -np　　と打つと・・・

「Active Internet connections (w/o servers)」の項目と
「Active UNIX domain sockets (w/o servers)」の項目の
２つが表示されますが、以下のように、
「Active UNIX domain sockets (w/o servers)」において
以下のようなものが大量発生していました。これは時間とともに
じりじりと増加し、最後にはウェブサーバーが落ちてしまいます。

unix 3 [ ] STREAM CONNECTED 144254692 18819/httpd
unix 3 [ ] STREAM CONNECTED 144254672 18850/httpd
unix 3 [ ] STREAM CONNECTED 144254551 16862/httpd
unix 3 [ ] STREAM CONNECTED 144246713 18401/httpd
unix 3 [ ] STREAM CONNECTED 144246706 18864/httpd
unix 3 [ ] DGRAM 144246691 13088/httpd
unix 3 [ ] STREAM CONNECTED 144246544 18768/httpd
unix 3 [ ] STREAM CONNECTED 144246518 18772/httpd
unix 3 [ ] STREAM CONNECTED 144246514 18861/httpd
unix 3 [ ] STREAM CONNECTED 144245873 13766/httpd
unix 3 [ ] STREAM CONNECTED 144245868 18834/httpd
unix 3 [ ] STREAM CONNECTED 144245636 18397/httpd
unix 3 [ ] DGRAM 144245451 9277/httpd
unix 4 [ ] STREAM CONNECTED 144245363 17896/httpd
unix 4 [ ] STREAM CONNECTED 144245194 18771/httpd
unix 3 [ ] STREAM CONNECTED 144244915 18330/httpd
unix 4 [ ] STREAM CONNECTED 144244890 17760/httpd
unix 4 [ ] STREAM CONNECTED 144244844 17914/httpd

質問ですが、

１）「Active UNIX domain sockets」とは、いったい何でしょうか。
また、例えばどういうときに「　httpdの　unix sockets　」は
大量発生するのしょうか。

２）これはdosアタック等の攻撃でしょうか。

その場合、攻撃元ＩＰを特定するにはどうしたらいいでしょうか。
#netstat -np　で見る限りでは、「Active UNIX domain sockets」の
項目ではそのPIDに対応したＩＰが表示されません。

３）それとも、未熟なcgiやphp等のスクリプトが悪さをしているのでしょうか。

その場合、どのスクリプトが元凶なのか、どうやって調べることが
できるでしょうか。
#lsof | grep PID で調査できるかとやってみましたが、
アクセス先として表示されるのは、ただのgifファイルだったりして
どうもよくわかりません。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (1件)

最新から表示
回答順に表示

No.1

回答者： P-mann
回答日時：2010/02/18 06:53

そこまで分かっているのであれば、apacheのログを見れば何か分かるのではないでしょうか。

apacheをLogLevel debugなどで起動して確認するのも有効かと思います。

ちなみに、Active UNIX domain sockets (w/o servers)は、プロセス間通信のソケットです。
IP通信ではないのでIPアドレスはありません。

apacheがどのようなときにこれを使うのかは・・・申し訳ないですが分からないです。