我的 OpenVZ 服务器(CentOS 6.3 64 位)目前正遭受一些攻击,这些攻击正在使公共以太网接口饱和(当前通过私有接口访问 SSH)。
是否可以显示系统上入站连接最多的 IP 地址以找到目标 VM,以便我可以将其添加到路由器上的空路由列表中?
答案1
我不确定运行 Netstat 时是否会显示虚拟机 IP 地址,但如果显示,这将显示具有最多 TCP 连接的本地地址,按连接数排序:
netstat -nt | awk '/^tcp/ {print $4}' | awk -F: '{print $1}' | sort | uniq -c | sort -n
如果您想要查看具有开放连接的顶级外部地址,请将 $4 替换为 $5:
netstat -nt | awk '/^tcp/ {print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -n
答案2
我的替代方案有更多详细信息(连接数、源 IP、源端口、目标 IP、连接状态):
netstat -nat | awk '{print $4":"$5":"$6}' | awk -F: '{print $1":"$2" "$3" "$5}' | sort | uniq -c | sort -nr | head
OR
ss -nat | awk '{print $4":"$5":"$1}' | awk -F: '{print $1":"$2" "$3" "$5}' | sort | uniq -c | sort -nr | head