Optimización del rendimiento de Linux (7): herramienta de monitoreo de tráfico de red

Uno, iftop

1. Introducción a iftop

El comando iftop se puede usar para monitorear el tráfico en tiempo real de la tarjeta de red (puede especificar el segmento de red), la resolución de IP inversa y la información del puerto de visualización.
Instalación en línea: yum install iftop

2. Comando Iftop

iftop -h | [-nNpblP] [-u unit] [-i interface] [-f filter code] [-F net/mask] [-G net6/mask6]
-h: ver información de ayuda
-i: especificar la tarjeta de red de monitoreo
-b: no mostrar el histograma de tráfico
-B: mostrar el tráfico en bytes (bits predeterminados)
-n: no resolver el nombre de host, mostrar directamente la IP
-N: no Analizar el servicio del puerto y mostrar directamente el número de puerto
-F: mostrar el tráfico de entrada y salida de un segmento de red específico
-m límite: establecer el límite superior de ancho de banda, puede usar K, M, G como sufijos
iftop -b -n -N -F 192.168.0.0/24
Optimización del rendimiento de Linux (7): herramienta de monitoreo de tráfico de red
TX: enviar tráfico
RX: recibir tráfico
TOTAL: tráfico total
acumulado: acumulación
Pico de flujo total :
índices de flujo máximo : representan respectivamente el flujo promedio de los últimos 2, 10 y 40 segundos

3. Comando interactivo Iftop

Presione h para cambiar si se muestra la ayuda
Presione n para cambiar y mostrar la IP local o el nombre del host
Presione s para cambiar si se muestra la información del host de la máquina local
Presione d para cambiar si se muestra la información del host del host de destino remoto
Presione t para cambiar el formato de visualización a 2 líneas / 1 línea / Mostrar solo tráfico de envío / solo tráfico de recepción
Presione N para cambiar para mostrar el número de puerto o el nombre del servicio de puerto
Presione S para cambiar si se muestra la información del puerto de la máquina local
Presione D para cambiar si se muestra la información del puerto del host de destino remoto
Presione p para cambiar si se muestra la información del puerto
Presione P Cambiar a la pantalla de pausa / continuar
Presione b para cambiar si se muestra la barra del gráfico de flujo promedio
Presione B para cambiar y calcular el flujo promedio
en 2 segundos o 10 segundos o 40 segundos Presione T para cambiar si se muestra el flujo total de cada conexión
Presione l para abrir la función de filtro de pantalla, ingrese el requerido Para caracteres filtrados,
presione L para cambiar la escala en la parte superior de la pantalla; la escala cambiará, la barra del gráfico de flujo cambiará.
Presione jok para desplazarse hacia arriba o hacia abajo por los registros de conexión que se muestran en la pantalla.
Presione 1 o 2 o 3 para mostrar la pantalla a la derecha Las tres columnas de datos de tráfico se ordenan de
acuerdo a < ordenar según el nombre local o IP a la izquierda; presione> para ordenar según el nombre de host o IP del host de destino remoto.
Presione o para cambiar si es fijo o no para mostrar solo la conexión actual.
Presione f para editar el código de filtro
presione! Use el comando de shell para
presionar q para salir del monitoreo

二 、 netstat

1. Introducción a netstat

netstat se usa para mostrar datos estadísticos relacionados con los protocolos IP, TCP, UDP e ICMP, y generalmente se usa para verificar la conexión de red de cada puerto de la máquina.

2, comando netstat

netstat [-vWeenNcCF] [<Af>] -r         
netstat {-V|--version|-h|--help}
netstat [-vWnNcaeol] [<Socket> ...]
netstat { [-vWeenNac] -I[<Iface>] | [-veenNac] -i | [-cnNe] -M | -s [-6tuw] } [delay]

-a, - all: muestra todos los conectores de la conexión.
-A <tipo de red> o - <tipo de red> Enumere las direcciones relevantes en la conexión de este tipo de red.
-c, - continuo: muestra continuamente el estado de la red.
-C, --cache: muestra la información de la caché de la configuración del enrutador.
-e, --extend: muestra otra información relacionada de la red.
-F, - fib: muestra FIB.
-g, --groups: muestra la lista de miembros del grupo para la función de transmisión múltiple.
-h, --help: ayuda en línea.
-i, --interfaces: muestra la lista de tarjetas de red
-l, --listening: muestra el Socket del servidor bajo monitoreo.
-M o --masquerade muestran conexiones de red disfrazadas.
-no --numeric Usa la dirección IP directamente en lugar de a través del servidor de nombres de dominio.
-N o --netlink o --symbolic Muestra el nombre del enlace simbólico del dispositivo periférico de hardware de red.
-o o --timers muestran temporizadores.
-p o --programs Muestra el código de identificación del programa y el nombre del programa del conector que se está utilizando.
-r, --route: Muestra la tabla de enrutamiento.
-s, --statistics: muestra la tabla de estadísticas de información de trabajo de la red.
-t, - tcp: muestra el estado de conexión del protocolo de transmisión TCP.
-u, - udp: muestra el estado de conexión del protocolo de transmisión UDP.
-v, --verbose: muestra familias de direcciones no admitidas.
-V, - versión: muestra información sobre la versión.
-w, --raw: muestra el estado de conexión del protocolo de transferencia RAW.
-x, - unix: El efecto de este parámetro es el mismo que especificar el parámetro "-A unix".
--ip, - inet: El efecto de este parámetro es el mismo que especificar el parámetro "-A inet".

3. Comandos comunes para netstat

netstat -a
Enumerar todos los puertos
netstat -at
enumera todos los puertos TCP
netstat -au
enumerados todos los puertos UDP
netstat -l
mostrar solo el puerto de escucha
netstat -lt
solo enumera todos los puertos TCP de escucha solo enumera todos los puertos de
netstat -lu
escucha UDP
netstat -lx
solo enumera todos los puertos de escucha UNIX
netstat -s
para mostrar estadísticas de todos los puertos las
netstat -st
estadísticas muestran ese puerto TCP
netstat -su
visualización de información estadísticas de la
netstat -pt
salida del puerto UDP PID y el nombre del proceso
netstat -r
muestra el
netstat -ap | grep ssh
puerto de información de enrutamiento central El buscador se ejecuta
netstat -an | grep ':80'
para encontrar un proceso que se ejecuta en el puerto especificado
netstat -ntu | grep :80 | awk '{print $5}' | cut -d: -f1 | awk '{++ip[$1]} END {for(i in ip) print ip[i],"\t",i}' | sort -nr
ver un puerto de servicio para conectar la dirección IP de
netstat -nt | grep -e 127.0.0.1 -e 0.0.0.0 -e ::: -v | awk '/^tcp/ {++state[$NF]} END {for(i in state) print i,"\t",state[i]}'
TCP varios estados
netstat -anpo | grep "php-cgi" | wc -l
ver la lista phpcgi número de procesos, si está cerca El valor predeterminado indica que no es suficiente, es necesario agregar SYN_SENT para
netstat -nat | grep "192.168.1.15:22" |awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -20
ver la dirección IP con el puerto de servicio más conectado
netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn
Optimización del rendimiento de Linux (7): herramienta de monitoreo de tráfico de red
: el cliente envía un SYN para solicitar el establecimiento de una conexión y el estado se establece en SYN_SENT. SYN_RECV: El servidor envía un ACK para confirmar el SYN del cliente, y al mismo tiempo envía un SYN al cliente, y el estado se establece en SYN_RECV.
ESTABLECIDO: En nombre de una conexión abierta, las dos partes pueden o ya están en intercambio de datos.
FIN_WAIT1: cierre activamente la aplicación final para cerrar la llamada, envíe una solicitud FIN para cerrar activamente la conexión y entre en el estado FIN_WAIT1.
CLOSE_WAIT: Después de recibir el FIN, el TCP del extremo de cierre pasivo envía un ACK en respuesta a la solicitud FIN y entra en el estado CLOSE_WAIT.
FIN_WAIT2: Después de recibir el ACK, entrará en el estado FIN-WAIT-2. LAST_ACK: Después de que el final del archivo se cierra pasivamente durante un período de tiempo, la aplicación que recibe el final del archivo llamará a CLOSE para cerrar la conexión, enviar un FIN y esperar a que el ACK de la otra parte sea LAST-ACK.
TIME_WAIT: Después de recibir el FIN en el extremo de cierre activo, TCP envía un paquete ACK y entra en el estado TIME-WAIT.
CIERRE: Esperando que el TCP remoto confirme la interrupción de la conexión
CERRADO: Después de recibir el paquete ACK, el extremo de cierre pasivo entra en estado CERRADO y finaliza la conexión.
DESCONOCIDO: Estado del enchufe desconocido.

Tres, tcpdump

1. Introducción a tcpdump

tcpdump es una herramienta de línea de comandos que se utiliza para capturar y analizar los paquetes de datos de tráfico que pasan a través del sistema. Generalmente se utiliza como una herramienta de análisis de fallas de red y una herramienta de seguridad.

2, comando tcpdump

tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ] [ -Q|-P in|out|inout ] [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ] [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
[ -Z user ] [ expression ]

-a: convierte las direcciones de red y de difusión en nombres.
-c recuento: el número de paquetes de datos capturados
-e: muestra el encabezado del archivo del nivel de conexión
-f: muestra la dirección de red en números.
-F Archivo de expresión: especifique el archivo que contiene la expresión.
-i interfaz: especifique el dispositivo de la tarjeta de red para capturar paquetes de datos.
-l: use el búfer de la columna de salida estándar.
-n: no convierte la dirección de red del host en un nombre.
-N: No incluya nombres de dominio.
-O: no optimice la codificación del paquete de datos
-q: modo de salida rápida, solo se lista una
pequeña información del protocolo de transmisión -r archivo de paquete de datos: lea los datos del paquete de datos del archivo especificado.
-s Tamaño del paquete de datos: establece el tamaño de cada paquete de datos.
-S: Utilice valores absolutos en lugar de valores relativos para enumerar los números de asociación de TCP.
-t: no muestra la marca de tiempo
-tt: muestra la marca de tiempo sin formato
-T Tipo de paquete: fuerza el paquete de datos especificado por la expresión para que se traduzca al tipo de paquete de datos establecido.
-v: muestra el proceso de ejecución de la instrucción en detalle.
-vv: muestra el proceso de ejecución de la instrucción con más detalle.
-x: usa código hexadecimal para listar los datos del paquete de datos.
-w archivo de paquete de datos: escribe los datos del paquete de datos en el archivo especificado.

tcpdump  -enfN -r test.cap
tcpdump -r test.cap

3. Comandos comunes para tcpdump

tcpdump -i wlp3s0 tcp port 80
Tome el paquete de datos del puerto 80 del protocolo TCP de la
tcpdump -i wlp3s0 dst host 192.168.0.104
tarjeta de red wlp3s0 y tome el paquete de datos cuyo host de destino es 192.168.0.104 de la tarjeta de red wlp3s0.

Supongo que te gusta

Origin blog.51cto.com/9291927/2594136
Recomendado
Clasificación