状态:描述
◆CLOSED:无连接是活动的或正在进行
◆LISTEN:服务器在等待进入呼叫
◆SYN_RECV:一个连接请求已经到达,等待确认
◆SYN_SENT:应用已经开始,打开一个连接
◆ESTABLISHED:正常数据传输状态
◆FIN_WAIT1:应用说它已经完成
◆FIN_WAIT2:另一边已同意释放
◆ITMED_WAIT:等待所有分组死掉
◆CLOSING:两边同时尝试关闭
◆TIME_WAIT:另一边已初始化一个释放
◆LAST_ACK:等待所有分组死掉
ESTABLISHED的值其实也是当前的并发数,这个可重点关注下;另外,可关注下TIME——WAIT这项的数值。Linux下高并发的Squid服务器,TCP TIME_WAIT套接字数量经常达到两、三万,服务器很容易被拖死。通过修改Linux内核参数,可以减少Squid服务器的TIME_WAIT套接字数量。
三、 寻找恶意IP并用iptables禁止掉
找出恶意连接你的服务器80端口的IP,直接用iptables来drop掉它;这里建议写脚本来运行
netstat -an| grep :80 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: '{print $1,$4}' | uniq -c | awk '$1 >50 {print $1,$2}' |
iptables脚本执行完毕后,用iptables –nv –L 可查看其规则,下面的iptables语法比较详细,推荐记忆
iptables [-t表名] <-A| I |D |R > 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 动作>
四、SMTP会话处理方式
捕获一个SMTP会话,以下命令很管用,推荐下 ;不喜欢用命令的同学我推荐用wireshark
tcpdump -vv –x –X –s 1500 `port 25` |
五、打印自动运行服务
打印出自动运行的服务,3、5级别的即可;当然喜欢图形的同学可用ntsysv工具。
[root@ltos test]# chkconfig -list | grep 3:on | awk '{print $1,$5}' [root@ltos test]# chkconfig –list | grep 5:on | awk '{print $1,$7}' |
六、使用Netstat查看协议数据
Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。
NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval] -a 显示所有连接和监听端口。 -b 显示包含于创建每个连接或监听端口的可执行组件。 -e 显示以太网统计信息。此选项可以与-s选项组合使用。 -n 以数字形式显示地址和端口号。 -o 显示与每个连接相关的所属进程 ID。 -p proto 显示 proto 指定的协议的连接。 -r 显示路由表。 -s 显示按协议统计信息。 |
一般用得比较多的就是netstat -an与netstat –rn