netstatの確立は、誰かが私のマシンにsshされたことを意味しますか

「確立」は、接続がTCPレイヤーで確立されていることを意味します。認証されているかどうかについてはほとんど何も通知しません。一般的なシーケンスは次のとおりです：

1. クライアント（/アタッカー）からサーバーへのTCP接続が確立される
2. クライアントは認証を試みます
3. クライアントが認証に成功した場合、クライアントは接続を介して何かを行います。 TCP接続は、切断されるまで「確立」されたままです。
4. クライアントが認証に失敗した場合（通常は3回試行した後）、サーバーは接続をドロップします。

誰かがあなたにパスワード推測攻撃を実行していて、彼らがパスワードを試している間にたまたま確認した場合、「確立された」接続が表示されます。それらが試行の間に遅延しない場合（つまり、1つの接続試行が失敗したらすぐに再接続して再試行する）、ほとんど常に「確立された」接続が表示されます。

一方、同じ接続がしばらく続く場合（つまり、ポート番号を継続的に変更するのではなく、同じリモートIPとポート番号）は、誰かが入っているか、彼らがひどく長い間ダウリングしているかのいずれかです。パスワード推測の間。その場合はご安心ください。

しかし、本当に何が起こっているのか知りたい場合は、ログを確認してください！ （Ipor Sircerがコメントで述べたように。）攻撃者がワイプしない限り、TCP接続を参照するよりもはるかに有益です。

また、攻撃を受けているため（インターネット上でsshが公開されているため、自動的に行われます）、sshサービスが 適切にロックダウンされていることを確認してください ！ rootログインを無効にし、ログインできるユーザーを制限し、推測しにくいパスワードを使用し、（可能な場合は）公開鍵認証を優先してパスワードを無効にします。

ESTABLISHEDは、tcpソケットが確立された状態であること、つまり接続が現在アクティブであることを意味します。

tcpソケットタプルは次のとおりです。

(my.machine.ip.add:ssh, 116.31.116.48:43270)

ここで、ローカルエンドポイントはmy.machine.ip.add:ssh、およびリモートエンドポイントは116.31.116.48:43270。

だから確かにsshクライアント116.31.116.48はコンピューターのsshサービスに接続されています。