Linux服务器发包

最新推荐文章于 2024-05-17 05:22:28 发布
最新推荐文章于 2024-05-17 05:22:28 发布
阅读量5.3k 收藏 3
点赞数 1
分类专栏: 服务器管理 文章标签: 服务器发包 流量
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lan842632/article/details/52843345
版权
关于服务器网络流量异常,卡死,遭受入侵,对外发包...
以下只是一些小工具,用于检测流量及哪些进程有问题,需要丰富的经验配合。

yum install ifstat nload iptraf sysstat
大多数是因为PHP-ddos木马原因导致发包

watch ifconfig -------------查看数据包新增情况
ifstat ----查看网卡流量
       eth0                eth1       
 KB/s in  KB/s out   KB/s in  KB/s out
  407.34    154.99    134.96    324.29
  274.08    191.48    210.72    248.32
  240.20    192.91    257.22    179.06
  136.48    236.72    203.89    179.84

nload -------以流量图显示

iptraf ------------很直观的工具

sar -n DEV 1 4 查看4次数据
[root@ct-nat ~]#  sar -n DEV 1 4
Linux 2.6.18-164.el5PAE (ct-nat)        06/05/2014

02:20:38 PM     IFACE   rxpck/s   txpck/s   rxbyt/s   txbyt/s   rxcmp/s   txcmp/s  rxmcst/s
02:20:39 PM        lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00
02:20:39 PM      eth0    855.10    290.82 832319.39 140028.57      0.00      0.00      0.00


netstat -tu -c 查看发包的端口
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 124.1.1.68:49995          218.66.170.184:10991        ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:41077  ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:42562  ESTABLISHED 
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 124.1.1.68:49995          218.66.170.184:10991        ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:41077  ESTABLISHED 
tcp        0      0 ::ffff:118.26.96.1:ssh      ::ffff:118.26.96.248:42562  ESTABLISHED 

用  lsof -i :39733 查看端口的进程,Kill就可以了

一篇博客的解决办法:
从服务器上使用命令sar -n DEV 1 4 ,确实出现大量发包的问题,(下边是正常的,异常的情况eth0txpck/s 10000左右了)

先进行限速或者拔掉网线:
开始之前,先要清除 eth0所有队列规则
tc qdisc del dev eth0 root 2> /dev/null > /dev/null

1) 定义最顶层(根)队列规则,并指定 default 类别编号
tc qdisc add dev eth0 root handle 1: htb default 20
tc class add dev eth0 parent 1: classid 1:20 htb rate 2000kbit
(1KB/s = 8KBit/s)

TC命令格式:
tc qdisc [ add | change | replace | link ] dev DEV [ parent qdisc-id | root ] [ handle qdisc-id ] qdisc [ qdisc specific parameters ]

tc class [ add | change | replace ] dev DEV parent qdisc-id [ classid class-id ] qdisc [ qdisc specific parameters ]

tc filter [ add | change | replace ] dev DEV [ parent qdisc-id | root ] protocol protocol prio priority filtertype [ filtertype specific parameters ] flowid flow-id

显示
tc [-s | -d ] qdisc show [ dev DEV ]
tc [-s | -d ] class show dev DEV tc filter show dev DEV

查看TC的状态
tc -s -d qdisc show dev eth0
tc -s -d class show dev eth0

删除tc规则
tc qdisc del dev eth0 root

查看状态:
top
CPU和MEM都正常,看不出异常的进程。

yum install -y tcpdump
tcpdump -nn
找到大量的IP地址

本机(192.168.35.145)和主机114.114.110.110之间的数据
tcpdump -n -i eth0 host 192.168.35.145 and 114.114.110.110
还有截取全部进入服务器的数据可以使用以下的格式
tcpdump -n -i eth0 dst 192.168.35.145

或者服务器有多个IP 可以使用参数
tcpdump -n -i eth0 dst 192.168.35.145  or  192.168.35.155

我们抓取全部进入服务器的TCP数据包使用以下的格式,大家可以参考下
tcpdump -n -i eth0 dst 192.168.35.145 or 192.168.35.155 and tcp

从本机出去的数据包
tcpdump -n -i eth0 src 192.168.35.145 or 192.168.35.155
tcpdump -n -i eth0 src 192.168.35.145 or 192.168.35.155 and port ! 22 and tcp
或者可以条件可以是or  和 and  配合使用即可筛选出更好的结果。

可以将异常IP加入到/etc/hosts.deny中,或者防火墙设置下

NetHogs 查看网络使用情况
wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -Uvh epel-release-6-8.noarch.rpm
yum clean all
yum makecache
yum install nethogs -y
nethogs

下图显示各进程当前网络使用情况:

按“m”键可以切换到统计视图,显示各进程总的网络使用情况

使用帮助:
    [root@localhost ~]# nethogs --help  
    usage: nethogs [-V] [-b] [-d seconds] [-t] [-p] [device [device [device ...]]]  
            -V : 显示版本信息,注意是大写字母V.  
            -d : 延迟更新刷新速率,以秒为单位。默认值为 1.  
            -t : 跟踪模式.  
            -b : bug 狩猎模式 — — 意味着跟踪模式.  
            -p : 混合模式(不推荐).  
            设备 : 要监视的设备名称. 默认为 eth0  
    当 nethogs 运行时, 按:  
     q: 退出  
     m: 总数和当前使用情况模式之间切换  
找到大量发包的进程,之后kill掉,再排查下这个进程是什么程序,文件路径在哪里,删除掉异常的文件。



个人学习笔记,不当之处还请指正。
----------不定期更新------------


myleolan
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux服务端问题定位常用方法
yongrendijie的专栏
07-10 892
常用抓包指令: tcpdump udp port 9990tcpdump tcp -i eth1 -s0 and port 8601 and host 210.51.244.185 -C 100 -w /root/tempname_8601_srcdest.cap
Linux服务器部署
abbc7758521的博客
09-15 1494
Linux使用,对于命令行的使用,在于操作,用的次数多了,也就会了
网络抓包与发包程序设计(二)
weixin_51293984的博客
11-17 1136
打开cmd 设置中打开有线网络,查看物理地址 局域网同一子网段内直接发包、以及给服务器发包,目的MAC的选择,要理解清楚,服务器是在其它的网段,那么目的MAC应该是发送者所在网段的网关MAC,网关为192.168.181.254,因此MAC地址为58-69-6c-c9-bd-a2。 ConfigDialog.java PacketCaptureFX.java PacketSender.java SendPacketFX.java NetworkChoiceDialog.java 三、运行
linux网络调试发包抓包工具
何高志
05-06 2万+
目录 1、发包工具 1.1 sendip 1.2 tcpreply 2、抓包工具 2.1、tcpdump 2.2 tcpflow 3、速率测试工具 4、加密工具 4.1 tcpcryptd 5.linux网络编程 5.1、tcp 5.2、udp 1、发包工具 1.1 sendip Sendip是一个linux平台的命令行发数据包工具,目前(2018年2月)支持的...
python网络渗透之:DOS攻击篇_ddos攻击脚本
最新发布
HUAXIAL的博客
05-17 746
Smurf攻击是旨在通过发送大量伪造的ICMP回应数据报给一个或多个目标IP地址来使其宕机。这种攻击方式得名于使用了一种叫做“Smurf程序”的工具。Smurf攻击就是属于DDOS攻击的一种。Smurf攻击的原理是利用了ICMP Echo Request消息(即Ping请求),当有大量的Echo Request消息被发送到网上广播地址(Broadcast Address),所有收到此消息的主机都会向源IP地址回复并返回ICMP Echo Reply消息(即Ping响应)。
深入理解Linux 网络包发送过程
sanylove的博客
09-16 1705
所以内核的做法就是每次调用网卡发送的时候,实际上传递出去的是 skb 的一个拷贝。对于上小节函数中,当满足真正发送条件的时候,无论调用的是 __tcp_push_pending_frames 还是 tcp_push_one 最终都实际会执行到 tcp_write_xmit。在上面 __igb_open 函数调用 igb_setup_all_tx_resources 分配所有的传输 RingBuffer, 调用 igb_setup_all_rx_resources 创建所有的接收 RingBuffer。...
netstat 命令详解
热门推荐
laker的博客
03-09 2万+
netstat 命令是 Linux 系统中一个非常常用的网络工具,用于查询和统计网络连接的状态和数据传输情况。在网络故障排除和性能调优中,netstat 命令是必不可少的工具之一。本文将详细介绍 netstat 命令的常用参数及其用法。
搭建Linux服务器
DJB1026的博客
07-05 160
1、使用Xshell工具连接安装好的Linux服务器 2、下载rz插件 [root@localhost /]# yum install -y lrzsz; 已加载插件:fastestmirror, langpacks Loading mirror speeds from cached hostfile * base: mirrors.huaweicloud.com * extras: c...
Linux环境Socket发包工具
05-24
本篇文章将深入探讨基于Python的XML格式Socket发包测试工具,以及它在Linux环境中的应用。 首先,让我们了解Socket。Socket是网络通信中的一个接口,它允许两个程序通过网络交换数据。在Linux系统中,我们可以使用...
伟伟专用服务器发包工具集
09-18
优秀的服务器发包工具集应具有良好的兼容性,支持多种操作系统,如Windows、Linux、macOS等,以便于不同环境下的使用。 8. **用户界面与命令行**: 为了满足不同用户的需求,工具集可能提供了图形用户界面(GUI)...
chenwei.rar_ chenwei_linux 发包_linux 发包程序
09-24
标题中的"chenwei.rar_ chenwei_linux 发包_linux 发包程序"暗示这是一个与Linux操作系统相关的发包程序,由chenwei创建或维护。这个程序可能是用于打包和分发Linux环境下的软件或者应用,使得其他开发者或者用户...
Linux 服务器性能分析和测试工具详解.docx
11-16
Linux 服务器性能分析和测试工具详解 本文将详细介绍 Linux 服务器性能分析和测试工具,包括 vmstat、iostat、dstat、iotop、pidstat 和 top 命令。这些工具可以帮助管理员和开发者对 Linux 服务器的性能进行监控和...
linux下的UDP发包
01-07
为了能够使该程序能在单位时间内发送大量的数据包,采用了并发式的服务器,用多个线程同时发送大小指定的数据包。 该程序的执行文件为run,因为需要使用原始套接字,所以需要使用超级用户权限来 运行该程序,以命令行...
Linux下netstat常用,linux之netstat使用--10个常用的命令
weixin_42106357的博客
05-12 902
1.列出所有的端口netstat -a列出TCP协议的端口netstat -atUDP协议的端口netstat -au2.列出处于监听状态的socketnetstat -l列出监听的TCP端口netstat -lt列出监听的UDP端口netstat -lu列出监听的UNIX端口netstat -lx3.列出协议的统计信息nestat -s比如: Ip:11150 total packets rec...
Linux 网络发包流程
s_alted的博客
08-17 1557
应用程序通过 socket 提供的接口进行系统调用,将数据从用户态拷贝到内核态的 socket 缓冲区中网络协议栈从 socket 缓冲区中拿取数据,并按照 TCP/IP 协议栈从上到下逐层处理传输层处理:以 TCP 为例,在传输层中会复制一份数据(为了丢失重传),然后为数据封装 TCP 头网络层处理:选取路由(确认下一跳的 IP)、填充 IP 头、netfilter 过滤、对超过 MTU 大小的数据包进行分片等操作。
cmd常用命令讲解
qq_54037445的博客
12-25 2万+
cmd常用命令,Windows 命令提示符(即 cmd)是 Windows 系统的一种命令行操作工具,用户可以通过输入命令来完成各种各样的系统或程序操作。虽然很多操作都可以通过图形程序完成,但也有非他不可的情况存在。因此了解一些日常可能用到的简单操作也是很必要的。
服务器发包方法解析
weew_pp的专栏
12-09 6443
在当今这个网络互联时代,将服务提供到网络是很重要的一部分,这里就要讲解一下在服务器发包的过程以及遇到相关问题的一些解决方法。 1  关闭服务 因为本地使用的是windows系统,可以使用"远程桌面连接"连接到服务器上,如下图所示,输入用户名密码就可以连接登录了。 登录之后找到tomcat的指定路径下的批处理shutdown.bat,双击关闭服务器tomcat的服务,如下图所示。 关闭
服务器发包流程简介
wuqingdeqing的博客
10-28 6350
近日向同事了解了服务器发包的一些流程,加上自己的一些理解,这里做一些简述。 连接服务器可使用如Xshell一类的远程终端模拟软件,从而达到在window下访问服务器的需求。这边使用了MobalXterm。 在网上可搜到相应破解版,将软件下载后,打开即可运行。点击Session,点击SSH,输入你的服务器外网ip和用户名,进入后输入密码进入你的服务器。使用cd进入/app/你的服务器端口。在下载
linux udp发包
06-06
要在Linux中使用UDP协议发送数据包,可以使用socket函数创建一个UDP套接字,然后使用sendto函数将数据包发送到目标IP地址和端口号。下面是一个简单的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/socket.h> #include <netinet/in.h> #include <arpa/inet.h> #define SERVER_IP "127.0.0.1" #define SERVER_PORT 8888 #define BUF_SIZE 1024 int main(int argc, char *argv[]) { int sockfd, ret; struct sockaddr_in server_addr; char buf[BUF_SIZE] = "Hello, UDP!"; // 创建UDP套接字 sockfd = socket(AF_INET, SOCK_DGRAM, IPPROTO_UDP); if (sockfd < 0) { perror("socket error"); exit(EXIT_FAILURE); } // 设置服务器地址 memset(&server_addr, 0, sizeof(server_addr)); server_addr.sin_family = AF_INET; server_addr.sin_addr.s_addr = inet_addr(SERVER_IP); server_addr.sin_port = htons(SERVER_PORT); // 发送数据包 ret = sendto(sockfd, buf, sizeof(buf), 0, (struct sockaddr*)&server_addr, sizeof(server_addr)); if (ret < 0) { perror("sendto error"); exit(EXIT_FAILURE); } // 关闭套接字 close(sockfd); return 0; } ``` 在上面的代码中,我们创建了一个UDP套接字,并设置了目标服务器的IP地址和端口号。然后,使用sendto函数发送了一个数据包。最后,关闭了套接字。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值