Linux网络连接分析命令
echo “Saving current connections…”
# netstat -nta > /tmp/netstat.txt
echo “Number of connections per IP…”
# cut -b 49-75 /tmp/netstat.txt | grep -o -P “\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b” | sort | uniq -c | sort -n -r -k 1,7 | head -10
从netstat输出结果中提取每个IP地址的连接数量,计算每个连接保持的连接时间,同时输出10个连接数量最大的IP地址,从中可以发现是否存在单个IP建立了过多的连接到serve,采取措施来阻止这个IP。
echo “States of connections…”
# cut -b 77-90 /tmp/netstat.txt | sort | uniq -c
从netstat 输出结果中提取不同状态的连接数量。以此来计算各种状态下的连接时间。
如果在SYN_RECV这个状态下面存在大量的连接,可能存在syn-flood攻击。
echo “Number of SYN_RECV connections per IP…”
# grep “SYN_RECV” /tmp/netstat.txt | cut -b 49-75 | cut -d ‘:’ -f1 | sort | uniq -c | sort -n -r -k 1,7 | head –10
使用grep netstat的输出结果来看看各IP地址在SYN_RECV状态下建立的连接,以此来计算单IP的连接情况,列出10个SYN_RECV连接数量最大的IP。如果以上命令没有输出,则说明SYN_RECV状态没有异常
根据以上列出的一些命令,你已经分析出连接到你server目前的连接基本状态。但是这还是不够的。因为你有可能看不到很多正在建立的“短”连接。为了分析这些新建立的连接,你可以这么做:
echo “Count number of new connection requests over the next 100 packets…”
# time tcpdump -ns 200 -c 100 ‘(dst port http or dst port https) and tcp[13] & 2!=0′ | grep -o -P ‘\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}.\d{1,5}\s\>’ | cut -d ‘.’ -f 1-4 | sort | uniq -c | sort -n -r -k 1,7 | head -25
在这条命令中,参数-c定义分析的数据包数量。相关阅读:
一些Asp技巧和实用解决方法
关于Javascript 的 prototype问题。
Oracle数据库ODU的几种恢复场景
ie6 表格td中无内容时不显示边框的解决办法
Web开发与设计的 Cheet Sheet
Exchange2000服务器的磁盘I/O设计指导
FreeBSD 使用watch监视终端
phpwind前台银行操作日志链接问题
详解new function(){}和function(){}() 区别分析
CSS设计圆角自适应按钮教程
基于MooTools的很有创意的滚动条时钟动画
Forte for Java开发指南(一)
js资料toString 方法
js 不用重复检测浏览器提高效率