连接数暴涨往往意味着服务被异常调用、遭受扫描或攻击,比如SYN Flood、HTTP慢速攻击、爬虫泛滥或内部程序失控。识别关键不在“数多少”,而在“谁连的、怎么连的、连得是否合理”。
快速确认当前连接数量与分布
先看总量,再看构成:
- 统计所有TCP连接总数:ss -s | grep "TCP:"(比netstat更快更轻量)
- 按状态细分(如大量SYN_RECV说明可能被SYN Flood):ss -tan state syn-recv | wc -l
- 按源IP聚合Top 10异常访问者:ss -tn | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -10
- 按本地端口查看哪些服务连接激增:ss -tn | awk '{print $4}' | cut -d: -f2 | sort | uniq -c | sort -nr
用Sniffer定位异常流量源头
连接数只是表象,真实异常藏在数据包里。建议分两步抓取分析:
标签: linux nginx access 端口 c++ 爬虫 dns
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~