netstat与awk
一、netstat命令
1、安装
yum -y install net-tools (可以生成ifconfig命令,netstat命令)
2、参数介绍
netstat命令用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。netstat是在内核中访问网络及相关信息的程序,它能提供TCP连接,TCP和UDP监听,进程内存管理的相关报告。
netstat输出结果分析
从整体上看,netstat的输出结果可以分为两个部分(如红色标记):
1、Active Internet connections,
称为有源TCP连接,其中"Recv-Q"和"Send-Q"指的是接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。
2、Active UNIX domain sockets,称为有源Unix域套接口(和网络套接字一样,但是只能用于本机通信,性能可以提高一倍)。
Proto显示连接使用的协议,RefCnt表示连接到本套接口上的进程号,Types显示套接口的类型,State显示套接口当前的状态,Path表示连接到套接口的其它进程使用的路径名。
套接口类型:
-t :TCP
-u :UDP
-raw :RAW类型
--unix :UNIX域类型
--ax25 :AX25类型
--ipx :ipx类型
--netrom :netrom类型
状态说明:
LISTEN:侦听来自远方的TCP端口的连接请求
SYN-SENT:再发送连接请求后等待匹配的连接请求(如果有大量这样的状态包,检查是否中招了)
SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认(如有大量此状态,估计被flood攻击了)
ESTABLISHED:代表一个打开的连接
FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认
FIN-WAIT-2:从远程TCP等待连接中断请求
CLOSE-WAIT:等待从本地用户发来的连接中断请求
CLOSING:等待远程TCP对连接中断的确认
LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认(不是什么好东西,此项出现,检查是否被攻击)
TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认
CLOSED:没有任何连接状态
二、常用的命令
netstat - atulnp
会显示所有端口和所有对应的程序,用grep管道可以过滤出想要的字段
-a :all,表示列出所有的连接,服务监听,Socket资料 -t :tcp,列出tcp协议的服务 -u :udp,列出udp协议的服务 -n :port number, 用端口号来显示 -l :listening,列出当前监听服务 -p :program,列出服务程序的PID
显示网卡列表
netstat –i
显示组播组的关系
netstat –g
显示网络统计
netstat -s
常用组合:
netstat -lntup 说明: l:listening n:num t:tcp u:udp p:process
显示关于以太网的统计数据
netstat –e 用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量,也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量)
显示路由信息
netstat –r
找出程序运行的端口
netstat -ap | grep ssh
在 netstat 输出中显示 TCP连接信息
netstat -pt (p:pid t:tcp)
说明:netstat -p 可以与其它开关一起使用,就可以添加 “PID/进程名称”
netstat -an
netstat -an命令能看到所有和本地计算机建立连接的IP,它包含四个部分:proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息可以完全监控自己的计算机上的连接。
打印active状态的连接
netstat -atnp | grep ESTA tcp 0 0 127.0.0.1:8060 127.0.0.1:49170 ESTABLISHED 1482/nginx: worker tcp 0 52 192.168.40.132:22 192.168.40.1:62469 ESTABLISHED 1513/sshd: root@pts tcp 0 0 127.0.0.1:9090 127.0.0.1:54796 ESTABLISHED 1407/prometheus
三、awk与netstat结合,进行访问量分析
1、统计网络连接(tcp连接)各个状态个数
$ netstat -an | awk '/^tcp/ {++S[$NF]} END {for (a in S) print a,S[a]}' |sort -nrk2
TIME_WAIT 125
ESTABLISHED 101
LISTEN 57
查看 http(Apache) 的并发请求数及其 TCP 连接状态:
$ netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
ESTABLISHED 102
TIME_WAIT 125
2、把各个状态全都取出来后使用uniq -c统计后再进行排序
注意:sort | uniq -c | sort -rn 的使用顺序
#####写法1:
netstat -ant | awk '{print $6}' | sort | uniq -c | sort -rn
145 TIME_WAIT
101 ESTABLISHED
57 LISTEN
####写法2:
netstat -an | grep tcp | cut -c 68- | sort | uniq -c | sort -nr
135 TIME_WAIT
101 ESTABLISHED
57 LISTEN
3、查看连接某服务端口最多的的IP地址
$ netstat -ant | awk '{print $5}' | grep 10.11.1 | awk -F: '{print $1}'| sort -nr | uniq -c
1 10.11.1.36
1 10.11.1.35
3 10.11.1.34
5 10.11.1.32
49 10.11.1.3
4、查找80端口请求数最高的前20个IP
netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20
5、统计ip访问次数,逆序排序
awk '{i=$1;count[i]++}END{for(i in count)print(i,count[i])}' access1.log | sort -t" " -nrk 2 | head -n 20
60.21.253.82 896
216.83.59.82 75
61.241.50.63 21
211.95.50.7 21
59.36.132.240 20
182.254.52.17 18
50.7.235.2 16
94.102.50.96 15
写法2:
awk '{a[$1] += 1;} END {for (i in a) printf("%d %s\n", a[i], i);}' access1.log | sort -nr | head -n 10
896 60.21.253.82
75 216.83.59.82
21 61.241.50.63
21 211.95.50.7
20 59.36.132.240
18 182.254.52.17
16 50.7.235.2
15 94.102.50.96
15 101.89.19.140
13 198.108.67.80
6、查看tcp连接状态
指定查看80端口的tcp连接状态,有利于分析连接是否释放,或者攻击时进行状态分析$ netstat -ant | grep tcp | grep 80 | awk '{print $6}'| sort | uniq -c | sort -rn
13 TIME_WAIT
5 LISTEN
4 ESTABLISHED
7、查看80端口建立连接
$ netstat -ant | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort
8、tcpdump 抓包,用来防止80端口被人攻击时可以分析数据
tcpdump -c 10000 -i eth0 -n dst port 80 > /root/pkts
然后检查IP的重复数并从小到大排序 注意 “-t\ +0” 中间是两个空格(有待研究)
less pkts | awk {'printf $3"\n"'} | cut -d. -f 1-4 | sort | uniq -c | awk {'printf $1" "$2"\n"'} | sort -n -t\ +0
