Linux网络连接分析命令

    echo “Saving current connections…”
    # netstat -nta > /tmp/netstat.txt

    echo “Number of connections per IP…”
    # cut -b 49-75 /tmp/netstat.txt | grep -o -P “\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b” | sort | uniq -c | sort -n -r -k 1,7 | head -10

    从netstat输出结果中提取每个IP地址的连接数量，计算每个连接保持的连接时间，同时输出10个连接数量最大的IP地址，从中可以发现是否存在单个IP建立了过多的连接到serve，采取措施来阻止这个IP。

    echo “States of connections…”
    # cut -b 77-90 /tmp/netstat.txt | sort | uniq -c
    从netstat 输出结果中提取不同状态的连接数量。以此来计算各种状态下的连接时间。
    如果在SYN_RECV这个状态下面存在大量的连接，可能存在syn-flood攻击。

    echo “Number of SYN_RECV connections per IP…”
    # grep “SYN_RECV” /tmp/netstat.txt | cut -b 49-75 | cut -d ‘:’ -f1 | sort | uniq -c | sort -n -r -k 1,7 | head ?10
    使用grep netstat的输出结果来看看各IP地址在SYN_RECV状态下建立的连接，以此来计算单IP的连接情况，列出10个SYN_RECV连接数量最大的IP。如果以上命令没有输出，则说明SYN_RECV状态没有异常

    根据以上列出的一些命令，你已经分析出连接到你server目前的连接基本状态。但是这还是不够的。因为你有可能看不到很多正在建立的“短”连接。为了分析这些新建立的连接，你可以这么做：

    echo “Count number of new connection requests over the next 100 packets…”
    # time tcpdump -ns 200 -c 100 ‘(dst port http or dst port https) and tcp[13] & 2!=0′ | grep -o -P ‘\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}.\d{1,5}\s\>’ | cut -d ‘.’ -f 1-4 | sort | uniq -c | sort -n -r -k 1,7 | head -25
    在这条命令中,参数-c定义分析的数据包数量。