连接数暴涨往往意味着服务被异常调用、遭受扫描或攻击,比如SYN Flood、http慢速攻击、爬虫泛滥或内部程序失控。识别关键不在“数多少”,而在“谁连的、怎么连的、连得是否合理”。
快速确认当前连接数量与分布
先看总量,再看构成:
- 统计所有TCP连接总数:ss -s | grep “TCP:”(比netstat更快更轻量)
- 按状态细分(如大量SYN_RECV说明可能被SYN Flood):ss -tan state syn-recv | wc -l
- 按源IP聚合Top 10异常访问者:ss -tn | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr | head -10
- 按本地端口查看哪些服务连接激增:ss -tn | awk ‘{print $4}’ | cut -d: -f2 | sort | uniq -c | sort -nr
用Sniffer定位异常流量源头
连接数只是表象,真实异常藏在数据包里。建议分两步抓取分析:
- 先用iftop -P实时观察哪个IP/端口正在猛传数据,支持反向dns解析(加-D)
- 对可疑IP做定向抓包:sudo tcpdump -i eth0 -w suspicious.pcap host 192.168.5.222 and port not 22(排除ssh干扰)
- 重点检查:是否大量短连接(tcpdump -i eth0 ‘tcp[tcpflags] & (tcp-syn|tcp-fin) != 0’)、重复SYN无ACK、异常User-Agent、非标准端口上的HTTP流量
结合基线判断是否真异常
单看“高连接数”容易误判。需对比历史行为:
- 用vnstat -l查近一小时流量趋势,确认是否同步突增
- 查应用日志时间窗口内请求量(如nginx access.log中awk ‘$9==200 {c++} END{print c}’ /var/log/nginx/access.log)
- 若平时峰值为200连接,当前达2000且集中在同一C段IP、相同User-Agent、固定URL路径,基本可判定为扫描或CC攻击
自动化筛查常用异常模式
不用每次都手动分析,可固化几条快速检测命令:
- 查1秒内新建连接超50个的源IP:sudo ss -nt | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | awk ‘$1 > 50’
- 查非80/443端口上的HTTP请求(常见于隐蔽隧道):sudo tcpdump -i eth0 -n -A ‘port ! 80 and port ! 443 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x48545450)’
- 查异常协议混用(如udp包里携带HTTP字符串,疑似DNS隧道):sudo tcpdump -i eth0 -n -A -s 0 udp | grep -i “GET|POST|HTTP/”