产业气象站|Linux 网络命令集锦，运维工程师必备：请收好( 二 ) 看着kalilinux上百个网络命令

文章图片
当你不确定内网的流量来源，比如有人在压测， api调用不合理等，都可以通过这种方法找到他。
抓包tcpdump当我们需要判断是否有流量，或者调试一个难缠的netty应用问题，则可以通过抓包的方式去进行进一步的判断。在Linux上，可以通过tcpdump命令抓取数据，然后使用Wireshark进行分析。
tcpdump-ieth0-nn-s0-vport80
-i指定网卡进行抓包
-n和ss一样，表示不解析域名
-nn两个n表示端口也是数字，否则解析成服务名
-s设置抓包长度， 0表示不限制
-v抓包时显示详细输出， -vv、-vvv依次更加详细
1）加入-A选项将打印ascii ， -X打印hex码。
tcpdump-A-s0port80
2）抓取特定IP的相关包
tcpdump-ieth0host10.10.1.1tcpdump-ieth0dst10.10.1.20
3）-w参数将抓取的包写入到某个文件中
tcpdump-ieth0-s0-wtest.pcap
4）tcpdump支持表达式，还有更加复杂的例子，比如抓取系统中的get,post请求（非https)
tcpdump-s0-v-n-l|egrep-i"POST/|GET/|Host:"
更多参见https://hackertarget.com/tcpdump-examples/
抓取的数据，使用wireshark查看即可。

文章图片
HTTP抓包抓包工具将自身当作代理，能够抓取你的浏览器到服务器之间的通讯，并提供修改、重放、批量执行的功能。是发现问题，分析协议，攻击站点的利器。常用的有以下三款：
Burpsuite（跨平台)
Fiddle2(Win)
Charles(Mac)
流量复制你可能需要使你的生产环境HTTP真实流量在开发环境或者预演环境重现，这样就用到了流量复制功能。
有三个工具可供选择，个人倾向于Gor 。
Gor
TCPReplay
TCPCopy
连接数过多问题

文章图片
根据TCP/IP介绍， socket大概包含10个连接状态。我们平常工作中遇到的，除了针对SYN的拒绝服务攻击，如果有异常，大概率是TIME_WAIT和CLOSE_WAIT的问题。
TIME_WAIT一般通过优化内核参数能够解决；CLOSE_WAIT一般是由于程序编写不合理造成的，更应该引起开发者注意。
TIME_WAIT是主动关闭连接的一方保持的状态，像nginx、爬虫服务器，经常发生大量处于time_wait状态的连接。 TCP一般在主动关闭连接后，会等待2MS ，然后彻底关闭连接。由于HTTP使用了TCP协议，所以在这些频繁开关连接的服务器上，就积压了非常多的TIME_WAIT状态连接。
某些系统通过dmesg可以看到以下信息。
__ratelimit:2170callbackssuppressedTCP:timewaitbuckettableoverflowTCP:timewaitbuckettableoverflowTCP:timewaitbuckettableoverflowTCP:timewaitbuckettableoverflow
通过ss-s命令查看，可以看到timewait已经有2w个了。
ss-sTotal:174(kernel199)TCP:20047(estab32,closed20000,orphaned4,synrecv0,timewait20000/0),ports10785
sysctl命令可以设置这些参数，如果想要重启生效的话，加入/etc/sysctl.conf文件中。
#修改阈值net.ipv4.tcp_max_tw_buckets=50000#表示开启TCP连接中TIME-WAITsockets的快速回收net.ipv4.tcp_tw_reuse=1#启用timewait快速回收。这个一定要开启，默认是关闭的。 net.ipv4.tcp_tw_recycle=1#修改系統默认的TIMEOUT时间,默认是60snet.ipv4.tcp_fin_timeout=10
测试参数的话，可以使用sysctl-wnet.ipv4.tcp_tw_reuse=1这样的命令。如果是写入进文件的，则使用sysctl-p生效。
CLOSE_WAITCLOSE_WAIT一般是由于对端主动关闭，而我方没有正确处理的原因引起的。说白了，就是程序写的有问题，属于危害比较大的一种。