В настоящее время я испытываю некоторые атаки на мой сервер OpenVZ (CentOS 6.3 64bit), который насыщает общедоступный интерфейс Ethernet (в настоящее время доступ к SSH осуществляется через частный интерфейс).
Можно ли отобразить IP-адреса с наибольшим количеством входящих подключений в системе, чтобы найти целевую виртуальную машину, чтобы я мог добавить ее в наш список нулевых маршрутов на маршрутизаторе?
Я не уверен, отображаются ли IP-адреса виртуальной машины при запуске Netstat, но если они появятся, это покажет вам локальные адреса с наибольшим количеством TCP-подключений, отсортированные по количеству подключений:
netstat -nt | awk '/^tcp/ {print $4}' | awk -F: '{print $1}' | sort | uniq -c | sort -n
Если вы хотите увидеть верхние внешние адреса с открытыми соединениями, замените 4 доллара на 5:
netstat -nt | awk '/^tcp/ {print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -n
Моя альтернатива с более подробной информацией (количество подключений, исходный IP-адрес, исходный порт, целевой IP-адрес, состояние подключения):
netstat -nat | awk '{print $4":"$5":"$6}' | awk -F: '{print $1":"$2" "$3" "$5}' | sort | uniq -c | sort -nr | head
OR
ss -nat | awk '{print $4":"$5":"$1}' | awk -F: '{print $1":"$2" "$3" "$5}' | sort | uniq -c | sort -nr | head