当我运行 netstat -a 时,会显示大量与外部主机的连接。它连接到整个子网,即 123.123.123.x 连接到端口 80。我如何才能看到实际发生了什么?我的服务器看起来没有受到攻击。它运行的是 ArchLinux。
答案1
netstat有一个-p选项可以显示哪个程序正在建立连接
$ wget http://serverfault.com &
$ netstat -ap
...
Proto Recv-Q Send-Q Local Address Foreign Address State ID/Program
tcp 0 0 rgb.example.com:1034 stackoverflow.com:http ESTABLISHED 2578/wget
然后,您可以使用它ps来找出哪个用户正在运行该进程、它的父进程是什么以及其他有用的信息。
您可以使用tcpdump dst net 123.123.123它来查看正在发送和接收的数据。