我有一个KVM节点,我只运行了7个虚拟机实例。 当启用GigE上行链路端口时,服务器连接以某种方式超过300MBps。 我不能跟踪哪个IP可能被攻击,反之亦然(它出现在Observium是传出尖峰不传入)。
我的问题是netstat没有提供任何信息。 我想知道连接是从哪里来的,无论是在哪个特定的IP,甚至是VM服务器。
我正在KVM节点上运行Centos 6.8 64位。
[root@server ~]# netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n [root@server ~]# netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr 3 xxx.xxx.xxx.xxx 1 8.8.8.8 [root@server ~]# netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1 [root@server ~]# netstat -n -p | grep SYN_REC | sort -u [root@server ~]# netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}' [root@server ~]# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 1 8.8.8.8 1 Address 1 servers) 4 xxx.xxx.xxx.xxx [root@server ~]# netstat -an | grep :80 | sort [root@server ~]# netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more [root@server ~]# netstat -an | grep ESTABLISHED | awk '\''{print $5}'\'' | awk -F: '\''{print $1}'\'' | sort | uniq -c | awk '\''{ printf("%s\t%s\t",$2,$1); for (i = 0; i < $1; i++) {printf("*")}; print ""}'\'' > ^C [root@server ~]# netstat -an | grep :80 | sort [root@server ~]# netstat -n -p|grep SYN_REC | wc -l 0 [root@server ~]# netstat -n -p | grep SYN_REC | sort -u [root@server ~]# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 1 xxx.xxx.xxx.xxx 1 Address 1 servers) 4 xxx.xxx.xxx.xxx [root@server ~]# netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n [root@server ~]# netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1 [root@server ~]# 虽然有趣的是netstat中没有任何东西可以显示出来,但是可以从另一个angular度来解决这个问题。 如果发送的内容为300 MB / s,则很可能会嚼碎体积不等的CPU …尝试运行,并基于使用最多CPU检查日志的服务。