轻松学会Linux查看攻击IP技巧 (linux查看攻击ip)

在当前的信息安全环境中，网络攻击已成为常态，并且越来越难以防御。作为系统管理员，我们需要及时地发现和应对这些攻击，以维护网络安全。而查看攻击IP是系统管理员的维护工作中必须要进行的检查项之一。本文将介绍如何轻松地学会在Linux系统中查看攻击IP的技巧。

一、查看最近登录的IP

一般情况下，黑客通过SSH登录到服务器上来执行攻击行为。如果你想知道哪些IP最近访问过您的Linux服务器，可以使用以下命令：

“`

$ sudo lastlog

“`

这个命令将显示最近登录服务器的IP地址、登录用户名、以及最后一次登录服务器的时间。

另一种查看最近登录的IP的方式是使用last命令，此命令会列出所有用户的最近登录信息。使用last命令的格式如下：

“`

$ sudo last -a

“`

“-a”参数告诉命令显示登录的时间和登录的机器IP地址。显示的信息中，还可以看到从哪个IP地址登录，登录的用户名和登录时间，这些信息将对你了解你的系统并查找异常情况非常有帮助。

二、查看当前连接的IP

如果你想查看当前连接到你的服务器的所有IP地址，可以使用netstat命令。使用该命令的格式如下：

“`

$ sudo netstat -anp | grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -rn

“`

这个命令将列出所有当前连接到您的服务器的IP地址，并按连接的数量进行排序。值得注意的是，输出的IP地址可能会包含一些本地地址，例如”127.0.0.1″，这些地址由本地进程建立。但是如果你看到一些与公司信息不符合的IP地址，那么就应该进行进一步的调查，以确定是否发生了攻击。

三、查看登录失败的IP

SSH登录失败可以被视为一种攻击。因此，如果您想查看最近一段时间内的失败登录尝试，可以使用以下命令：

“`

$ sudo grep “Fled password” /var/log/auth.log | awk ‘{print $11}’ | sort | uniq -c | sort -rn | head

“`

这个命令将显示最近的20个SSH登录尝试失败的IP地址。可以通过修改命令中的“head”值来显示更多的IP地址。

红色是”Fled password”错误信息，而粉红色是指该登录的源IP地址。

前三个命令也只是一个开始。当我们了解了如何查看IPv4地址后，我们可能会想更深入地了解Linux服务器上的网络连接，以及审计登录事件和其他需要关注的操作。有许多其他的工具和技术来帮助你更全面地了解你的服务器网络连接，以确保你的系统安全和完整性。

查看攻击IP是非常重要的安全措施之一，可以帮助系统管理员尽早地发现潜在的安全威胁。本文介绍了如何使用Linux系统自带的命令来查看最近登录的IP、当前连接的IP以及登录失败的IP。它们都是快速简便的工具，可提供有价值的信息，帮助你保持你的Linux服务器安全。了解这些技术将使你更容易识别威胁，加强反击措施，保护你公司的网络环境安全。