Estado estabelecido pelo TCP
O 'ESTABLISHED' significa que a conexão TCP está estabelecida, isto é, o handshake foi executado no nível TCP / IP. Isso é necessário antes que o processo ssh veja algum dado. Teoricamente, a conexão pode ser bastante longa no modo ESTABLISHED, sem enviar nenhum dado, dependendo do tempo limite definido (no nível de TCP e / ou na configuração sshd). Espere que o login ocorra depois disso.
iptraf
Para investigar mais, use 'iptraf' para monitorar a quantidade de tráfego, ou veja /var/log/auth.log (pelo menos, em um sistema Debian) para ver quem logou com sucesso.
Usando o lsof
O comando lsof -i lista todos os arquivos abertos associados a conexões com a Internet. É semelhante no formato netstat -a -p.
lsof -i
lsof –i :22
lsof -i @linxsol.com #to check which hosts
Para listar informações sobre sessões TCP em seu servidor
lsof -i tcp @ hostname : 22
Para exibir todos os arquivos de rede IPv4 em uso pelo processo cujo PID é 1234, use:
lsof -i 4 -a -p 1234
lsof irá então enviar todas as conexões correspondentes. Os exemplos acima listarão as conexões ouvindo ou estabelecidas na porta 22
Usando o netstat
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
netstat -ntu | grep -v TIME_WAIT | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
netstat -an | grep :80 | awk '{print $5}' | cut -f1 -d":" | sort | uniq -c | sort -n
Espero que ajude.