ss、tcpdump
2021/11/15 7:11:38
本文主要是介绍ss、tcpdump,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
ss和tcpdump
一、ss与netstat
ss全称是 Socket Statistics ,直译过来就是”端口数据“或”套接字统计“,ss与netstat显示的内容相似,但ss的优势在于可以显示更多更详细的有关tcp和连接状态的信息,当服务器的socket连接数量变得很大时,使用netstat命令或者cat /proc/net/tcp 命令,执行速度都会很慢。
ss命令利用到了tcp协议栈中tcp_diag。tcp_diag是一个用于分析统计的模块,可以获得Linux内核中相关资料,因此ss性能要比强一些。netstat使用在centos6多一些,而centos7中默认安装ss命令。
ss与netstat命令常用参数都是差不多的,比如 anpltu ,常用的这几个参数,作用和意义都是一样的,这里不做解释,还有一些参数可以看一下,有个印象。
-x, –unix 显示 unix domain sockets,与 -f 选项相同。
-n, –numeric 不解析服务的名称,如 “22” 端口不会显示成 “ssh”。
-r, –resolve 把 IP 解释为域名,把端口号解释为协议名称。
[root@k8s-master-01 ~]# netstat | head -5 Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost:43758 localhost:webcache ESTABLISHED tcp 0 0 localhost:36670 localhost:webcache ESTABLISHED tcp 0 0 k8s-master-01:49632 k8s-node-01:2379 ESTABLISHED tcp 0 0 localhost:webcache localhost:46710 ESTABLISHED tcp 0 0 k8s-master-01:55978 k8s-node-02:2379 ESTABLISHED
输入命令后,出现6列信息,根据我们的需要的不同,对每一列的关注度也不同。
第一列:使用的协议;
第四列:本地的地址:端口;
第五列:非本地地址;
第六列,状态。就回显效果上来看ss和netstat是一致的,所以这里用netstat举例。
根据差异进行对比参数还有各列含义:
[root@k8s-master-01 ~]# ss -tl | head -3 State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 127.0.0.1:10248 *:* LISTEN 0 128 127.0.0.1:10251 *:* LISTEN 0 128 173.26.1.75:sun-sr-https *:* [root@k8s-master-01 ~]# ss -tnl | head -3 State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 127.0.0.1:10248 *:* LISTEN 0 128 127.0.0.1:10251 *:* LISTEN 0 128 173.26.1.75:6443 *:* [root@k8s-master-01 ~]# ss -trl | head -3 State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 localhost:10248 *:* LISTEN 0 128 localhost:10251 *:* LISTEN 0 128 k8s-master-01:sun-sr-https *:* [root@k8s-master-01 ~]# ss -tlp | head -3 State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 127.0.0.1:10248 *:* users:(("kubelet",pid=22387,fd=26)) LISTEN 0 128 127.0.0.1:10251 *:* users:(("kube-scheduler",pid=32302,fd=6)) LISTEN 0 128 173.26.1.75:sun-sr-https *:* users:(("kube-apiserver",pid=10401,fd=7))
对于ss的使用先到这里,列出几种关于ss抓包的命令行,有需要的记得尝试。
# 查看tcp连接列出ip地址并排序 [root@k8s-master-01 ~]# netstat -an|grep "ESTABLISHED"|awk -F "[ :]+" '{print $6}'|sort|uniq -c|sort -rn -k1 138 173.26.1.75 118 127.0.0.1 76 173.26.1.77 76 173.26.1.76 2 10.244.2.3 2 10.0.0.1 1 173.26.0.61 1 10.244.2.2 # 查找请求数前20个IP(常用于查找攻来源) $ netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20 $ netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 [root@k8s-master-01 ~]# netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 222 127.0.0.1 36 173.26.1.75 10 173.26.1.77 9 173.26.1.76 3 0.0.0.0 2 10.244.2.3 1 10.0.0.1 1 # 查找较多time_wait连接 [root@k8s-master-01 ~]# netstat -n|grep TIME_WAIT|awk '{print $5}'|sort|uniq -c|sort -rn|head -n20 54 127.0.0.1:8080 5 10.244.2.4:44135 1 173.26.1.75:33544 1 173.26.1.75:33542 1 173.26.1.75:33520 1 10.244.2.3:8000 # 找查较多的SYN连接 [root@k8s-master-01 ~]# netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more # 查看所有80端口的连接数 [root@k8s-master-01 ~]# netstat -nat|grep -i "80"|wc -l 284 # 对连接的IP按连接数量进行排序 $ netstat -anp | egrep 'tcp|udp' | awk '{print $1" "$4}' | cut -d: -f1 | sort | uniq -c | sort -nr $ netstat -ntu | awk '{print $1" "$4}' | cut -d: -f1 | sort | uniq -c | sort -nr [root@k8s-master-01 ~]# netstat -anp | egrep 'tcp|udp' | awk '{print $1" "$4}' | cut -d: -f1 | sort | uniq -c | sort -nr 297 tcp 173.26.1.75 231 tcp 127.0.0.1 15 tcp6 12 tcp6 173.26.1.75 9 tcp 10.244.2.1 5 tcp 0.0.0.0 3 udp 0.0.0.0 2 udp6 2 tcp 10.0.0.1 [root@k8s-master-01 ~]# netstat -nat |awk '{print $NF}'|sort|uniq -c|sort -rn 426 ESTABLISHED 121 TIME_WAIT 29 LISTEN 1 State 1 established)
二、tcpdump
tcpdump是一个用于截取网络分组,并输出分组内容的工具。凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。
tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
tcpdump只能查看流经本机的流量,这一点需要注意。
tcpdump命令行抓包格式:
# 常用参数: -c: 指定要抓取的包数量。 -i: interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口 -n: 对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。 -nn: 除了-n的作用外,还把端口显示为数值,否则显示端口服务名。 -P: 指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。 -v: 当分析和打印的时候,产生详细的输出。 -vv: 产生比-v更详细的输出。 -vvv: 产生比-vv更详细的输出。
expression表达式:
a、类型,type
host,net,port,portrange
b、目标,dir
src,dst,src or dst,src and dst
c、协议,proto
tcp,udp,icmp,如果没有给定协议类型,则匹配所有可能的类型。
表达式单元之间可以使用操作符and/ &&/ or/ || / not/ ! 进行连接,从而组成复杂的条件表达式。
常用端口和名字的对应关系可在linux系统中的/etc/service文件中找到。
另外,同样的修饰符可省略,如"tcp dst port ftp or ftp-data or domain"与"tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain"意义相同,都表示包的协议为tcp且目的端口为ftp或ftp-data或domain(端口53)。
使用括号"()"可以改变表达式的优先级,但需要注意的是括号会被shell解释,所以应该使用反斜线""转义为"()",在需要的时候,还需要包围在引号中。
tcpdump 的使用:
# 指定网络接口的数据包 [root@k8s-master-01 ~]# tcpdump -i eth0 # 监视指定主机的数据包 [root@k8s-master-01 ~]# tcpdump -i eth0 host k8s-node-01 # 打印主机与两节点之前通信的数据包 [root@k8s-master-01 ~]# tcpdump -i eth0 host k8s-node-01 or k8s-node-02 # 打印主机与node1的通信数据包,不要node2的数据包 [root@k8s-master-01 ~]# tcpdump -i eth0 host k8s-node-01 and not k8s-node-02 15:38:27.138260 IP k8s-node-01.2379 > k8s-master-01.49876: Flags [.], ack 1, win 299, options [nop,nop,TS val 1069473752 ecr 1069464125], length 0 15:38:27.183478 IP k8s-node-01.36860 > k8s-master-01.sun-sr-https: Flags [P.], seq 460:506, ack 4141, win 18418, options [nop,nop,TS val 1069473798 ecr 1069478984], length 46 15:38:27.186340 IP k8s-master-01.sun-sr-https > k8s-node-01.36860: Flags [P.], seq 4141:4207, ack 506, win 1432, options [nop,nop,TS val 1069479184 ecr 1069473798], length 66 15:38:27.186426 IP k8s-master-01.sun-sr-https > k8s-node-01.36860: Flags [P.], seq 4207:4447, ack 506, win 1432, options [nop,nop,TS val 1069479184 ecr 1069473798], length 240 15:38:27.186584 IP k8s-node-01.36860 > k8s-master-01.sun-sr-https: Flags [.], ack 4447, win 18418, options [nop,nop,TS val 1069473801 ecr 1069479184], length 0 243 packets captured 243 packets received by filter 0 packets dropped by kernel # 通过对数据包的传输过程,可以看到传输的包有seq(squence numeber 序列号)还有ack(acknowledge number确认号),可以看出传输过程就是在发生着tcp三次握手阶段的,第二次握手和第三次握手。 # 截取来自node-01发送至本机的数据 [root@k8s-master-01 ~]# tcpdump -i eth0 src host k8s-node-01 15:58:18.919204 IP k8s-node-01.59572 > k8s-master-01.sun-sr-https: Flags [.], ack 973, win 1424, options [nop,nop,TS val 1070665533 ecr 1070670905], length 0 15:58:18.919406 IP k8s-node-01.49522 > k8s-master-01.sun-sr-https: Flags [.], ack 973, win 1393, options [nop,nop,TS val 1070665533 ecr 1070670904], length 0 15:58:18.919636 IP k8s-node-01.36860 > k8s-master-01.sun-sr-https: Flags [.], ack 7692, win 18418, options [nop,nop,TS val 1070665534 ecr 1070670904], length 0 159 packets captured 263 packets received by filter 0 packets dropped by kernel [root@k8s-master-01 ~]# tcpdump -i eth0 dst host k8s-node-01 26:00:40.786796 IP k8s-master-01.sun-sr-https > k8s-node-01.36860: Flags [P.], seq 3311:3551, ack 323, win 1432, options [nop,nop,TS val 1070812784 ecr 1070807398], length 240 26:00:40.801974 IP k8s-master-01.49596 > k8s-node-01.2379: Flags [.], ack 1118073436, win 296, options [nop,nop,TS val 1070812800 ecr 1070792376], length 0 26:00:40.841526 IP k8s-master-01.49800 > k8s-node-01.2379: Flags [.], ack 1004213034, win 657, options [nop,nop,TS val 1070812839 ecr 1070792472], length 0 67 packets captured 84 packets received by filter 0 packets dropped by kernel # 监视指定网络的数据包,如本机与173.26网段通信的数据包,"-c 3"表示只抓取3个包 [root@k8s-master-01 ~]# tcpdump -i eth0 -c3 host 173.26 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 26:03:28.726019 IP k8s-master-01.2380 > k8s-node-02.34286: Flags [P.], seq 980059585:980059692, ack 2363754347, win 278, options [nop,nop,TS val 1070980714 ecr 1070977959], length 107 26:03:28.726269 IP k8s-node-02.34286 > k8s-master-01.2380: Flags [.], ack 107, win 1424, options [nop,nop,TS val 1070978011 ecr 1070980714], length 0 26:03:28.726409 IP k8s-node-02.2380 > k8s-master-01.55433: Flags [P.], seq 1277875825:1277875927, ack 4035557266, win 278, options [nop,nop,TS val 1070978011 ecr 1070980662], length 102 3 packets captured 33 packets received by filter 0 packets dropped by kernel # 抓取ping包 [root@k8s-master-01 ~]# tcpdump -c 5 -nn -i eth0 icmp and src 173.26.1.65 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 0 packets captured 0 packets received by filter 0 packets dropped by kernel # 抓取到本机22端口包 [root@k8s-master-01 ~]# tcpdump -c 10 -nn -i eth0 tcp dst port 22 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 0 packets captured 0 packets received by filter 0 packets dropped by kernel # 解析包数据 [root@k8s-master-01 ~]# tcpdump -c 2 -q -XX -vvv -nn -i eth0 tcp dst port 21345 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 26:05:54.865520 IP (tos 0x0, ttl 63, id 43902, offset 0, flags [DF], proto TCP (6), length 40) 173.26.0.61.57618 > 173.26.1.75.21345: tcp 0 0x0000: 0050 5681 1018 085b 0ef4 cab4 0800 4500 .PV....[......E. 0x0010: 0028 ab7e 4000 3f06 36a9 ac10 003d ac10 .(.~@.?.6....=.. 0x0020: 014b e112 5361 3bac 71fd 8eb0 e738 5010 .K..Sa;.q....8P. 0x0030: 01fc fc28 0000 0000 0000 0000 ...(........ 26:05:54.918517 IP (tos 0x0, ttl 63, id 43903, offset 0, flags [DF], proto TCP (6), length 40) 173.26.0.61.57618 > 173.26.1.75.21345: tcp 0 0x0000: 0050 5681 1018 085b 0ef4 cab4 0800 4500 .PV....[......E. 0x0010: 0028 ab7f 4000 3f06 36a8 ac10 003d ac10 .(..@.?.6....=.. 0x0020: 014b e112 5361 3bac 71fd 8eb0 e8fc 5010 .K..Sa;.q.....P. 0x0030: 01fa fa66 0000 0000 0000 0000 ...f........ 2 packets captured 3 packets received by filter 0 packets dropped by kernel
命令行抓包:
# 用tcpdump嗅探80端口的访问看看谁最高 [root@k8s-master-01 ~]# tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk '{print $2}' |awk -F"." '{print $1"."$2"."$3"."$4}'|sort | uniq -c | sort -nr tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 0 packets captured 0 packets received by filter 0 packets dropped by kernel # 使用tcpdump监听tcp80端口来自192.268.0.1的所有流量。 [root@k8s-master-01 ~]# tcpdump -n tcp port 80 and src 172.16.1.76 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 0 packets captured 0 packets received by filter 0 packets dropped by kernel # tcpdump查看网卡ping包 [root@k8s-master-01 ~]# tcpdump -i eth0 icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 0 packets captured 0 packets received by filter 0 packets dropped by kernel
关于三个命令,我写的并不多,但看这篇笔记的朋友可以先问问自己,是基础薄弱还是知识受限,是不够精深还是缺乏敏感,这个过程就像是nv人的内衣,暴露出来的部分并不是重点,掩盖的部分才是关键,希望大家也有所收获。
以上。
这篇关于ss、tcpdump的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-23增量更新怎么做?-icode9专业技术文章分享
- 2024-11-23压缩包加密方案有哪些?-icode9专业技术文章分享
- 2024-11-23用shell怎么写一个开机时自动同步远程仓库的代码?-icode9专业技术文章分享
- 2024-11-23webman可以同步自己的仓库吗?-icode9专业技术文章分享
- 2024-11-23在 Webman 中怎么判断是否有某命令进程正在运行?-icode9专业技术文章分享
- 2024-11-23如何重置new Swiper?-icode9专业技术文章分享
- 2024-11-23oss直传有什么好处?-icode9专业技术文章分享
- 2024-11-23如何将oss直传封装成一个组件在其他页面调用时都可以使用?-icode9专业技术文章分享
- 2024-11-23怎么使用laravel 11在代码里获取路由列表?-icode9专业技术文章分享
- 2024-11-22怎么实现ansible playbook 备份代码中命名包含时间戳功能?-icode9专业技术文章分享