Facile. netstat est un outil en ligne de commande qui vous montre le trafic réseau en direct en temps réel. Mais lorsque vous parlez de access_log et que vous pointez vers le chemin complet comme ceci :
/var/www/vhosts/domain.com/statistics/logs/access_log
Ce journal est généré par le service web sur le serveur. Je suppose que c'est probablement Apache qui génère ces journaux. Et la raison pour laquelle vous voyez un journal avec moins de données dans access_log par rapport à Apache provient directement de la capacité d'Apache à gérer ces connexions.
Dans Apache, il y a une option pour maintenir une connexion active si elle provient du même navigateur avec la même adresse IP je crois. Donc si vous avez 32 éléments se connectant au port 80, il se peut que la logique de "keep alive" soit en place.
Ou—plus probablement—l'attaque est une attaque DDoS classique où un afflux de demandes de connexion est fait, mais elles sont abandonnées avant même que la connexion n'ait lieu. Cela fonctionne dans un sens DDoS puisque Apache doit être capable de répondre à ces demandes, mais si l'afflux de connexions des attaquants "traîne" avant que les connexions ne soient établies... Alors aucune connexion ne serait enregistrée.
Ainsi—en utilisant vos données d'exemple comme exemple—9 connexions sont en réalité faites à Apache. Mais les 23 demandes restantes sont simplement abandonnées avant qu'Apache ne puisse faire quelque chose.
