http://farm4.static.flickr.com/3305/4588110530_a60c934289_o.png 这张图是munin收集netstat -s输出。 我想确定连接来自哪里。 wireshark转储没有什么明显的。 我已经用iptables做了很多事情,这已经有一段时间了。 我怎么去logging这些? 谢谢 -s
在FreeBSD上,Drop和Idrop在netstat输出中有什么区别? $ netstat -di Name Mtu Network Address Ipkts Ierrs Idrop Opkts Oerrs Coll Drop bge0* 1500 <Link#1> 00:16:d4:e3:49:31 0 0 0 0 0 0 0 wpi0 2290 <Link#2> 00:1b:77:86:2d:fa 0 53068 0 179587 3 0 0 另外,netstat是从网卡还是从内核缓冲区获取丢弃计数? 例如,如果NIC由于缺less描述符而不能接受更多的数据包,丢失的数据包是否会被报告为netstat中的一个丢弃值? 我问,因为在Linux中,ifconfig从/ proc / net / dev读取,而且据我所知,它只有在内核缓冲区已满时才会丢弃。 所以如果网卡因为缺less描述符而不能接受数据包,你就不会知道它,也就是说它还没有进入内核内存。 那FreeBSD上的netstat有BPF缓冲区统计数据的-B选项,所以现在netstat -di报告NIC /驱动程序自身的丢弃数量是有意义的。 正确错误? 任何帮助表示赞赏,谢谢
我们正在Arch Linux上运行一个Apache web服务器(从10年5月开始构build),同时监视与netstat的连接,我们发现端口443上有一些不报告IP地址的奇怪连接; 这是值得关注的原因吗? 我们也不会在90%的连接上得到完整的IP地址报告给远程主机,我们只能得到IP的前三部分,然后是远程端口。 任何想法为什么这些事情发生? tcp 0 0 ::ffff:xxx.xxx.xxx.xxx:80 ::ffff:yyy.yyy.yyy.:60027 TIME_WAIT tcp 0 0 ::ffff:xxx.xxx.xxx.xxx:80 ::ffff:yyy.yyy.yyy.:62145 TIME_WAIT tcp 0 0 ::1:48439 ::1:443 TIME_WAIT tcp 0 0 ::1:47370 ::1:443 TIME_WAIT tcp 0 0 ::1:48413 ::1:443 TIME_WAIT tcp 0 0 ::1:48563 ::1:443 TIME_WAIT tcp 0 0 ::ffff:xxx.xxx.xxx.xxx:80 ::ffff:yyy.yyy.yyy.:62191 TIME_WAIT tcp 0 0 ::ffff:xxx.xxx.xxx.xxx:443 ::ffff:yyy.yyy.yyy.:59667 TIME_WAIT tcp […]
仙人掌显示不规则和相当稳定的高带宽到我的服务器(40倍的正常),所以我想服务器是一个类似的DDoS攻击。 传入的带宽并没有使我的服务器陷入瘫痪,但是当然还是消耗了带宽,影响了性能,所以我很想找出可能的罪魁祸首,把它们加到我的拒绝列表中,否则就会对付它们。 当我运行: netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 我得到了一个长长的IP列表,每个列表最多有400个连接。 我检查了大量发生的IP,但他们来自我的CDN。 所以我想知道什么是最好的方法来帮助监视每个IP为了查明恶意的请求。 我正在使用Ubuntu服务器。 谢谢
我使用http -2.2.15运行CentOS 6 在HTTP攻击下,我可以看到许多http进程正在运行。 > netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n > 1 established) > 1 Foreign > 2 LAST_ACK > 11 LISTEN > 15 FIN_WAIT2 > 19 CLOSING > 27 FIN_WAIT1 > 91 SYN_RECV > 116 ESTABLISHED > 10399 TIME_WAIT 所有连接的数量: netstat -an | grep :80 […]
在本地主机上运行nmap会显示奇怪的开放端口: $ nmap -p- localhost Starting Nmap 6.47 ( http://nmap.org ) at 2015-12-28 12:14 CET Nmap scan report for localhost (127.0.0.1) Host is up (0.00047s latency). All 65535 scanned ports on localhost (127.0.0.1) are closed Nmap done: 1 IP address (1 host up) scanned in 2.51 seconds $ nmap -p- localhost Starting Nmap 6.47 ( […]
这在Linux下尤其如此。 是否有一个工具,或者我可以用来监视IP连接的脚本 – 具有名称parsingfunction – 查看它们连接到哪个进程? 现在我正在使用这个: watch -d netstat -peeW –numeric-hosts –inet 但是这不能让我主持决议。 我正在考虑用sed或者其他东西写一个脚本,但是这看起来好像比需要的更多的工作。
我需要监视有多less用户在debian上主动连接到一个端口。 我知道我可以用命令来做 netstat -na | grep $ port | grep ESTABLISHED | wc -l 这实际上给了我结果 – 在某些端口上的一些连接是“ESTABLISHED”。 但我正在寻找一个Linux命令,可以给我带来多less连接真的有一些stream量 – 因为我的许多连接只build立 – 但没有stream量,所以我需要过滤它们。 有人有任何想法如何得到这个数字? 谢谢你们
我知道我可以使用lsof命令查看打开的端口列表。 我正在尝试通过听取时间戳来查看结果。 该进程打开多个(〜6)端口,我怀疑该端口上的初始化/绑定的顺序是一个错误的原因。 从技术上讲,应该可以通过查看在linux系统上创build的fd文件的创build时间戳来find绑定的相对时间戳。 我的查询是:有一个命令(netstat或lsof)已经这样做? PS:我不想通过审查日志的路线,因为有些港口是由外部jar子打开的,而这些外部jar子是我们无法控制的。
通过执行以下命令,可以在瞬间发现一个IP地址正在消耗的Apache worker的数量: netstat -pantu | grep :80 |sort | uniq -c |grep <IP_HERE, eg: 192.168> | wc -l 例如,这在DDoS攻击期间很有用。 从这个angular度可以确定一个人的反措施是否能够有效地减less阿帕奇工作人员被处理的太多stream量等。 最近我遇到了一个共享IP地址受到攻击的情况,我不能很快find哪个用户在使用最多的Apache工作。 如何确定这样的价值? 有人build议我注意每个用户的stream量,但是这似乎并没有真正给出我正在寻找的答案,当有大量的工人正在产生僵局,所以我到了那个地步我试图按照每个用户来分离工人的所有权。