У меня есть узел KVM, который я использую, всего с 7 экземплярами виртуальных машин. Когда порт восходящей связи GigE включен, соединение с сервером каким-то образом сходит с ума, превышая 300 Мбит / с. Я не могу отследить, какой IP-адрес, возможно, подвергается атаке, или наоборот (в Observium выясняется, что исходящие всплески, а не входящие).
Моя проблема в том, что netstat не предоставляет никакой информации. Я хочу точно знать, откуда идут соединения, входящие или исходящие, и какой конкретный IP-адрес или даже виртуальный сервер.
Я использую Centos 6.8 64bit на узле KVM.
[root@server ~]# netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
[root@server ~]# netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
3 xxx.xxx.xxx.xxx
1 8.8.8.8
[root@server ~]# netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
[root@server ~]# netstat -n -p | grep SYN_REC | sort -u
[root@server ~]# netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
[root@server ~]# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 8.8.8.8
1 Address
1 servers)
4 xxx.xxx.xxx.xxx
[root@server ~]# netstat -an | grep :80 | sort
[root@server ~]# netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more
[root@server ~]# netstat -an | grep ESTABLISHED | awk '\''{print $5}'\'' | awk -F: '\''{print $1}'\'' | sort | uniq -c | awk '\''{ printf("%s\t%s\t",$2,$1); for (i = 0; i < $1; i++) {printf("*")}; print ""}'\''
> ^C
[root@server ~]# netstat -an | grep :80 | sort
[root@server ~]# netstat -n -p|grep SYN_REC | wc -l
0
[root@server ~]# netstat -n -p | grep SYN_REC | sort -u
[root@server ~]# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 xxx.xxx.xxx.xxx
1 Address
1 servers)
4 xxx.xxx.xxx.xxx
[root@server ~]# netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
[root@server ~]# netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
[root@server ~]#
Хотя интересно, что в netstat ничего не отображается, вы можете решить эту проблему под другим углом. Если что-то отправляет 300 МБ / с, это, скорее всего, потребляет приличное количество ЦП ... попробуйте запустить top и на основе служб, которые соответственно используют больше всего журналов проверки ЦП.