Netstat is een uiterst nuttig Linux hulpmiddel van de bevellijn dat u toestaat om te controleren welke dienst met een haven op uw machine verbindt. Het is zeer nuttig om te analyseren wat op uw machine gebeurt wanneer u onder ogen ziet of aan probeert om een aanval op het te verhinderen. U kunt informatie vinden zoals hoeveel verbinding op een haven worden gemaakt, IP deze verbindingen voortkomt waaruit, en veel meer richt. De schepen van Netstat met de meeste distributies van Linux zouden zodat het reeds op van u moeten worden geïnstalleerde.
Lanceer een shell terminal op uw machine en stel het volgende bevel in werking:
# netstat - mier
De actieve verbindingen van Internet (servers en gevestigd)
Het Lokale Adres ver*zenden-Q van Proto recv-Q Buitenlands Adres Staat
TCP 0 0:: ffff: 192.168.1.19: 80 :: ffff: 192.168.1.240: 63049 TIME_WAIT
TCP 0 0:: ffff: 192.168.0.19: 80 :: ffff: 192.168.1.240: 62793 TIME_WAIT
TCP 0 0:: ffff: 192.168.1.19: 80 :: ffff: 192.168.1.240: 62795 TIME_WAIT
De output zal het waarschijnlijkst zeer lang zijn. Ik heb net een momentopname van de output hierboven gegeven. Aangezien u in de gegevens kunt zien hierboven zijn er een verbinding die van 192.168.1.240 aan haven 80 wordt gemaakt die van mijn server het protocol van TCP gebruikt en de verbinding in staat van TIME_WAIT. Uit gezet dat u voor uw server krijgt zal informatie over alle havens op uw machine, niet alleen haven 80 hebben.
Het eerste ding dat u is dat een output hebt gerealiseerd dit groot is niet van teveel gebruik. Zo organiseer het een beetje. Hier zijn een paar trucs I gebruik om de aard van de verbindingen die te analyseren aan van van mijn server worden gemaakt. het eerste ding dat ik ben heb gedaan bereken wat de diensten die ik heb willen om analyseren. Gewoonlijk is het haven 80 zoals dat de standaardhaven voor de Webserver is in werking te stellen, en haven 3306 die de standaardhaven voor MySQL om is te lopen. Zo gebruik ik de volgende vraag om te zien wat op haven 80 gebeurt:
# netstat - mier | grep 80
Opnieuw word ik grote lijst van verbindingen, kleiner dan de eerste, maar nog te groot aan greep. Zo gebruik ik het „WC - l“ bevel om het aantal lijnen in de output te tellen om ongeveer te zien hoeveel verbindingen ik op mijn haven 80 heb:
# netstat - mier | grep 80 | WC - l
625
En dan doe ik het zelfde voor MySQL:
# netstat - mier | grep 3306 | WC - l
61
Now, if I want to get a complete picture of what’s going on on my server in terms of the nature of connections here’s what I do:
# netstat -ant | awk ‘{print $6}’ | sort | uniq -c | sort -n
1 established)
1 Foreign
4 FIN_WAIT2
8 LISTEN
16 CLOSE_WAIT
134 ESTABLISHED
409 TIME_WAIT
This tells me how many connections of different types of state I have on my machine. I can run a similar command to see a complete picture of the state of all the connections made to my web server:
netstat -ant | grep 80 | awk ‘{print $6}’ | sort | uniq -c | sort -n
1 FIN_WAIT1
4 LISTEN
6 FIN_WAIT2
17 CLOSE_WAIT
94 ESTABLISHED
534 TIME_WAIT
You can perform a lot more complex things using Netstat along with other Linux command line tools. It can be helpful to be familiar with some tricks to get this kind of information using Netstat, particularly when you are facing an attack on your server.
{ 0 comments… add one now }
Leave a Comment