要查看进入服务器的IP地址,需根据服务器类型、操作系统及访问协议采用不同方法。以下是专业排查流程和工具详解:
通过系统内置网络工具实时检测连接状态:
| 工具/协议 | 命令 | 适用场景 |
|---|---|---|
| netstat (通用) | netstat -antup | grep ESTABLISHED |
TCP/UDP全协议连接检测 |
| ss (Linux高效替代) | ss -tunap state established |
大规模连接场景 |
| lsof (macOS/Linux) | lsof -i -P -n |
进程级连接追踪 |
| iftop (需安装) | iftop -nP |
实时流量IP排序 |
不同服务的日志路径及解析方法:
| 服务类型 | 日志路径 | 关键字段提取命令 |
|---|---|---|
| SSH | /var/log/auth.log (Ubuntu/Debian) /var/log/secure (CentOS/RHEL) |
grep "Accepted password" /var/log/auth.log | awk '{print $11}' |
| Apache | /var/log/apache2/access.log | awk '{print $1}' access.log | sort | uniq -c |
| Nginx | /var/log/nginx/access.log | cut -d ' ' -f 1 access.log | sort | uniq -c |
特殊网络环境下的IP获取方式:
1. 反向代理环境(如Nginx/CDN):需检查X-Forwarded-For头字段
nginx配置示例:log_format main '$http_x_forwarded_for - $remote_user [$time_local] "$request"';
2. Docker容器网络:使用docker inspect查源IP
docker inspect -f '{{.NetworkSettings.IPAddress}}' 容器ID
3. 云服务器安全组(AWS/Aliyun):通过VPC流日志捕获入口IP
结合IP地理定位API及威胁情报数据库分析可疑地址:
| 工具类别 | 推荐方案 | 数据源 |
|---|---|---|
| IP定位 | MaxMind GeoLite2 | ASN/国家/城市数据 |
| 威胁检测 | AbuseIPDB API | 全球恶意IP数据库 |
建议部署Fail2Ban实现动态IP封锁(配置示例):
fail2ban-regex /var/log/auth.log 'SSH-.* from <HOST>'
注:所有操作需在root权限或sudo下执行,生产环境建议通过审计日志保留溯源证据。
查看详情
查看详情
