Shell写起来很简单,效果却很神奇,你可以先尝试执行一下这条命令:
51Testing软件测试网�w�V�v-u4]�H�N�|+x�O-B+R51Testing软件测试网�S6c�z2U�R�t0d4Tnetstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,"\t",state[key]}'51Testing软件测试网�O8l"{2S�i�~�W
�\�s$f:c�m1x*B�s8p%Y�_�Q�A0会得到类似下面的结果,具体数字会有所不同:
�B!G�A�t�e4D&h�J+f0�N�u.y3l�n3f�p�O�J0LAST_ACK 1
51Testing软件测试网%Q�b L)j�~%Z:fSYN_RECV 14
51Testing软件测试网�n&K0N:Y%KESTABLISHED 79
51Testing软件测试网�|9A![4W�B�n5R�P�~�fFIN_WAIT1 28
K%w6@�`�o�}�W6m0FIN_WAIT2 3
51Testing软件测试网2T
G�R(j-|CLOSING 5
�V�h�K�r4y�y0TIME_WAIT 1669
�C�_�y+d�o�E6_&c0"\ t4b%]0V(y0也就是说,这条命令可以把当前系统的网络连接状态分类汇总。
51Testing软件测试网*P%a8b�Z+V-f-p5p'A P�v�S�Q3{0状态:描述
51Testing软件测试网�Z�G�r�@�x�b�G'o�q�?CLOSED:无连接是活动的或正在进行
51Testing软件测试网�\,v.K1D
r4z3lLISTEN:服务器在等待进入呼叫
�}7v;_7J�S0SYN_RECV:一个连接请求已经到达,等待确认
51Testing软件测试网�A3~�k�X�I�P�ZSYN_SENT:应用已经开始,打开一个连接
4D!j�d1x$e�D�q5J0ESTABLISHED:正常数据传输状态
�C�n5j9n!f�z�R0FIN_WAIT1:应用说它已经完成
�K�S�B�`�k0FIN_WAIT2:另一边已同意释放
51Testing软件测试网�m�X'V�{$w
}ITMED_WAIT:等待所有分组死掉
51Testing软件测试网:j�~"G�c�{�}�`1KCLOSING:两边同时尝试关闭
�P3^�H1V�}�r d0TIME_WAIT:另一边已初始化一个释放
6K.X�d�P
Z6~�O'e%o1h0LAST_ACK:等待所有分组死掉
51Testing软件测试网*F;R�g�e�i�H�D�Y�X,w#\/i3E�g0下面解释一下为啥要这样写:
%p�f�p(p�M�\2y�\(V�f�e�~0q0+Q'Y�\4H
T*K0一个简单的管道符连接了
netstat和
awk命令。
/z�l�g
V%_051Testing软件测试网$M"D�Y�Z�[1l$F�J7Y------------------------------------------------------------------
51Testing软件测试网�X�\�H6M3a7C�t!b�i)X't51Testing软件测试网�\�w1t�f�r1h先来看看netstat:
51Testing软件测试网-C�Q-l#n�L�_,u9F�H�i�B�D0netstat -n
51Testing软件测试网4o�f�Q�J6Q�t%g
i51Testing软件测试网!i
{�~�i b�v�j$V�O&j&{Active Internet connections (w/o servers)
51Testing软件测试网%p�Y1`�K*j�b:C;X�wProto Recv-Q Send-Q Local Address Foreign Address State
51Testing软件测试网3^-I�h�b&u"}#h3~�~�Jtcp 0 0 123.123.123.123:80 234.234.234.234:12345 TIME_WAIT
51Testing软件测试网�~3A0n�|
b#},_0n0`�M2d;l�t�D�G�R'K0你实际执行这条命令的时候,可能会得到成千上万条类似上面的记录,不过我们就拿其中的一条就足够了。
51Testing软件测试网�h�z.@�[�^$O7U0C4[4v3K�Z0------------------------------------------------------------------
51Testing软件测试网�S�k5a�K�i�u�|+_�H�k51Testing软件测试网
G�l4n�i0z再来看看awk:
51Testing软件测试网�?�y�w a#n0X4l7[�A�a�x4Y�k51Testing软件测试网$I)O-E'H)F�L
~�S/^tcp/
�j�m%b'H4`-\1N0滤出tcp开头的记录,屏蔽udp, socket等无关记录。
&N/i4P6G�N�D�[�V5A9K0�y4s�V�M�S+e�x0state[]相当于定义了一个名叫state的数组
51Testing软件测试网�B�N�s _�|51Testing软件测试网,@1b�G"m�I�E3pNF
0I-f�e�r*p:j�w0表示记录的字段数,如上所示的记录,NF等于6
v1n�V
a�^�^�B�}�D051Testing软件测试网/W*B�O:J5E#p"b;X�V$NF
51Testing软件测试网�R7e7[/K�?$o
^5Q�a�?表示某个字段的值,如上所示的记录,$NF也就是$6,表示第6个字段的值,也就是TIME_WAIT
#w�x�E+M6t2T!O�W.u"f�N9T051Testing软件测试网3O;k
I)|3m7S�Rstate[$NF]表示数组元素的值,如上所示的记录,就是state[TIME_WAIT]状态的连接数
51Testing软件测试网!N�R�R4M:w5s+F(b51Testing软件测试网8B)S�]�x�[*X'\++state[$NF]表示把某个数加一,如上所示的记录,就是把state[TIME_WAIT]状态的连接数加一
51Testing软件测试网2b:P$M�A+p"t ^ C'E51Testing软件测试网�O�J�n,H&k#x$~8@7I�REND
51Testing软件测试网;~�I�G"l�f�?/[/z表示在最后阶段要执行的命令
7F&e;}2B�h�n�U�M0�Q1]:q*j
o�Y0for(key in state)
�|�V&J'{�C9{$I0遍历数组
�f�|�o(D9C#M0�|�k�F j�q�[0print key,"\t",state[key]打印数组的键和值,中间用\t制表符分割,美化一下。
Y�X d�e�Z�l
O0(P�Q)q�F�x�~"K051Testing软件测试网#l�N�D�I�f
W�~)Xnetstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,"\t",state[key]}'
51Testing软件测试网0Q!X�a9P H'l�z.w�g%h1A51Testing软件测试网�y/D�n;\.C�w/L�I%b状态:描述
51Testing软件测试网�O)@�c)V q�oCLOSED:无连接是活动的或正在进行
51Testing软件测试网$[�S W�w�P4V�?�MLISTEN:服务器在等待进入呼叫
51Testing软件测试网'u1Y4J!J
Y(rSYN_RECV:一个连接请求已经到达,等待确认
�c�f�b�x5E�`�y-p�u0SYN_SENT:应用已经开始,打开一个连接
�K"R.Z�` W9r6W�k0ESTABLISHED:正常数据传输状态
51Testing软件测试网�\�f5B!\0vFIN_WAIT1:应用说它已经完成
51Testing软件测试网�i�u�Y%i*D+IFIN_WAIT2:另一边已同意释放
51Testing软件测试网�T�A�y-g�[#u�U;w Y�EITMED_WAIT:等待所有分组死掉
51Testing软件测试网�p�e�i�|�a�m�BCLOSING:两边同时尝试关闭
9@8_5v-o8x�q0TIME_WAIT:另一边已初始化一个释放
51Testing软件测试网�q1W�i0k�B�@�a�{!eLAST_ACK:等待所有分组死掉
51Testing软件测试网�F;]0O�a�W
C51Testing软件测试网�?�W2d�s-H�a�n51Testing软件测试网�D�U8H�S�m�Q3r如发现系统存在大量TIME_WAIT状态的连接,通过调整内核参数解决,
51Testing软件测试网�i�M6t�W*}�Nvim /etc/sysctl.conf
/n'[,g�e&o4V0l0编辑文件,加入以下内容:
�^7G*x:C ?�Q"i0net.ipv4.tcp_syncookies = 1
51Testing软件测试网�^2~3_�[!O.E7Dnet.ipv4.tcp_tw_reuse = 1
51Testing软件测试网�~#[
N�o%r�A0P7anet.ipv4.tcp_tw_recycle = 1
51Testing软件测试网�V0d�]�J0R�S�Inet.ipv4.tcp_fin_timeout = 30
51Testing软件测试网
c�u:`3~9y�M�k�F�x9M#B然后执行 /sbin/sysctl -p 让参数生效。
51Testing软件测试网�[-W�e&]%W�^�V(n'Q t1d&J�J;R&^0net.ipv4.tcp_syncookies = 1 表示开启SYN cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;
51Testing软件测试网�[�f;d�i,n!i&\net.ipv4.tcp_tw_reuse = 1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
�p"s'N�_�~6Q�D%~�P5G6Z0net.ipv4.tcp_tw_recycle = 1 表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
�_ ]8l&f.D
k8A0net.ipv4.tcp_fin_timeout 修改系統默认的 TIMEOUT 时间
51Testing软件测试网'~�n"^
E6Z9V
}51Testing软件测试网
W(]�G,p�s0m下面附上TIME_WAIT状态的意义:
51Testing软件测试网�G,F#Z�N!?�t)a/D:T�E$V4g�U�x�W�M*[�t0客户端与服务器端建立TCP/IP连接后关闭SOCKET后,服务器端连接的端口
51Testing软件测试网
[9C�d9F&Q�V&H�D�r状态为TIME_WAIT
#J)t�g!q�W051Testing软件测试网$P�e+Z�K#{�[�m�]!q�L是不是所有执行主动关闭的socket都会进入TIME_WAIT状态呢?
51Testing软件测试网;{&?�U;x u#Z#D'w&i,Q有没有什么情况使主动关闭的socket直接进入CLOSED状态呢?
3A/|(u�~�C�m:y:j+~051Testing软件测试网�Y:w!H X/_�b7B主动关闭的一方在发送最后一个 ack 后
�p!s�F1]�P0就会进入 TIME_WAIT 状态 停留2MSL(max segment lifetime)时间
�C3G�F�f�a.S�T0这个是TCP/IP必不可少的,也就是“解决”不了的。
51Testing软件测试网,b�@�` G0~�g�w3O.l�q�X.k0H�_.h
e�I�E0也就是TCP/IP设计者本来是这么设计的
9g�U�Q�L�~�h)V�L�}0主要有两个原因
2{,z4b�v
^�j01。防止上一次连接中的包,迷路后重新出现,影响新连接
)@$M�J-w#n4{ A0(经过2MSL,上一次连接中所有的重复包都会消失)
51Testing软件测试网,G G�R3i�i�Q7d�@�r�o2。可靠的关闭TCP连接
�e�E J7Y�X
i�h0在主动关闭方发送的最后一个 ack(fin) ,有可能丢失,这时被动方会重新发
.o!M,S�F'R1L1c'M.y0fin, 如果这时主动方处于 CLOSED 状态 ,就会响应 rst 而不是 ack。所以
51Testing软件测试网�[�h0c0[�X�v*{主动方要处于 TIME_WAIT 状态,而不能是 CLOSED 。
�A�X2x�I�g6_0�C5Y�Q:}�o5~
w6c�j0TIME_WAIT 并不会占用很大资源的,除非受到攻击。
�|�e�d�H�`'|�G051Testing软件测试网�d�^�t�e�K1V还有,如果一方 send 或 recv 超时,就会直接进入 CLOSED 状态
