目录
一、监控io性能
二、free命令
三、ps命令
四、查看网络状态
五、linux下抓包
一、监控io性能
- iostat -x 磁盘使用
iostat命令被用于监视系统输入输出设备和CPU的使用情况。它的特点是汇报磁盘活动统计情况,同时也会汇报出CPU使用情况。
[root@minglinux-01 ~]# iostat -x
Linux 3.10.0-862.11.6.el7.x86_64 (minglinux-01) 2018年10月24日 _x86_64_ (2 CPU)
avg-cpu: %user %nice %system %iowait %steal %idle
0.09 0.00 0.22 0.01 0.00 99.68
Device: rrqm/s wrqm/s r/s w/s rkB/s wkB/s avgrq-sz avgqu-sz await r_await w_await svctm %util
scd0 0.00 0.00 0.00 0.00 0.10 0.00 114.22 0.00 2.11 2.11 0.00 1.56 0.00
sdb 0.00 0.00 0.02 0.00 0.33 0.00 28.99 0.00 0.21 0.21 0.00 0.14 0.00
sda 0.00 0.03 0.71 0.41 21.85 12.33 61.05 0.00 0.89 0.73 1.17 0.41 0.05
dm-0 0.00 0.00 0.00 0.00 0.10 0.00 48.19 0.00 0.33 0.33 0.00 0.19 0.00
详细说明:第二行是系统信息和监测时间,第三行和第四行显示CPU使用情况。这里主要关注后面I/O输出的信息,如下所示:
上例的一些字段的解释:
| Device | 监测设备名称 |
| rrqm/s | 每秒需要读取需求的数量 |
| wrqm/s | 每秒需要写入需求的数量 |
| r/s | 每秒实际读取需求的数量 |
| w/s | 每秒实际写入需求的数量 |
| rsec/s | 每秒读取区段的数量 |
| wsec/s | 每秒写入区段的数量 |
| rkB/s | 每秒实际读取的大小,单位为KB |
| wkB/s | 每秒实际写入的大小,单位为KB |
| avgrq-sz | 需求的平均大小区段 |
| avgqu-sz | 需求的平均队列长度 |
| await | 等待I/O平均的时间(milliseconds) |
| svctm | I/O需求完成的平均时间 |
| %util | 被I/O需求消耗的CPU百分比 |
着重看%util列,如果数值很大,说明读写很忙。如果读写不大,说明硬盘有问题。
- iotop 磁盘使用
iotop命令是一个用来监视磁盘I/O使用状况的top类工具。iotop具有与top相似的UI,其中包括PID、用户、I/O、进程等相关信息。
运行yum install -y iotop
命令安装。
[root@minglinux-01 ~]# iotop
Total DISK READ : 0.00 B/s | Total DISK WRITE : 0.00 B/s
Actual DISK READ: 0.00 B/s | Actual DISK WRITE: 0.00 B/s
TID PRIO USER DISK READ DISK WRITE SWAPIN IO> COMMAND
30 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.02 % [kworker/0:1]
1 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % systemd --switched-r~tem --deserialize 22
2 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kthreadd]
3 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [ksoftirqd/0]
5 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kworker/0:0H]
6 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kworker/u256:0]
7 rt/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [migration/0]
8 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [rcu_bh]
9 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [rcu_sched]
10 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [lru-add-drain]
11 rt/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [watchdog/0]
12 rt/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [watchdog/1]
13 rt/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [migration/1]
14 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [ksoftirqd/1]
16 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kworker/1:0H]
18 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kdevtmpfs]
19 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [netns]
20 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [khungtaskd]
21 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [writeback]
22 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kintegrityd]
23 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [bioset]
二、free命令
free命令可以查看当前系统的总内存大小以及使用内存的情况。
[root@minglinux-01 ~]# free
total used free shared buff/cache availabl
Mem: 1865276 148548 1317440 9756 399288 152084
Swap: 2097148 0 2097148
free命令还可以加-m和-g选项(分别以MB或GB为单位)打印内存的使用状况。示例命令如下:
[root@minglinux-01 ~]# free -m
total used free shared buff/cache available
Mem: 1821 145 1286 9 389 1485
Swap: 2047 0 2047
[root@minglinux-01 ~]# free -g
total used free shared buff/cache available
Mem: 1 0 1 0 0 1
Swap: 1 0 1
free命令还可以加-h选项以人类易读形式打印,如下所示:
[root@minglinux-01 ~]# free -h
total used free shared buff/cache available
Mem: 1.8G 144M 1.3G 9.5M 389M 1.5G
Swap: 2.0G 0B 2.0G
上例的字段的含义:
total:内存总大小。
used:已经使用的内存大小。
free:空闲的物理内存大小。
shared:共享内存大小,不用关注它。
buff/cache:分配给buffer和cache的内存总共有多大。Linux系统为了让应用跑得更快,会预先分配一部分内存(buffer/cache)给某些应用使用。数据经过CPU计算,即将要写入磁盘,这时用的内存为buffer;CPU要计算时,需要把数据从磁盘中读出来,临时先放到内存中,这部分内存就是cache。
available:系统可使用内存有多大,它包含了free。
这个free命令显示的结果中,其实有一个隐藏的公式:total=used+free+buff/cache。
三、ps命令
ps命令用于报告当前系统的进程状态,类似于Windows下的任务管理器。
- ps aux和ps -elf 静态显示所有的进程
[root@minglinux-01 ~]# ps
PID TTY TIME CMD
1980 pts/1 00:00:00 bash
2116 pts/1 00:00:00 ps
[root@minglinux-01 ~]# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.3 46064 6528 ? Ss 18:07 0:03 /usr/lib/sy
root 2 0.0 0.0 0 0 ? S 18:07 0:00 [kthreadd]
root 3 0.0 0.0 0 0 ? S 18:07 0:00 [ksoftirqd/
root 5 0.0 0.0 0 0 ? S< 18:07 0:00 [kworker/0:
root 6 0.0 0.0 0 0 ? S 18:07 0:00 [kworker/u2
......
......
root 2118 0.0 0.1 155324 1868 pts/1 R+ 21:48 0:00 ps aux
[root@minglinux-01 ~]# ps -elf
F S UID PID PPID C PRI NI ADDR SZ WCHAN STIME TTY TIME CMD
4 S root 1 0 0 80 0 - 11516 ep_pol 18:07 ? 00:00:03 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
1 S root 2 0 0 80 0 - 0 kthrea 18:07 ? 00:00:00 [kthreadd]
1 S root 3 2 0 80 0 - 0 smpboo 18:07 ? 00:00:00 [ksoftirqd/0]
1 S root 5 2 0 60 -20 - 0 worker 18:07 ? 00:00:00 [kworker/0:0H]
1 S root 6 2 0 80 0 - 0 worker 18:07 ? 00:00:00 [kworker/u256:0]
1 S root 7 2 0 -40 - - 0 smpboo 18:07 ? 00:00:00 [migration/0]
1 S root 8 2 0 80 0 - 0 rcu_gp 18:07 ? 00:00:00 [rcu_bh]
1 S root 9 2 0 80 0 - 0 rcu_gp 18:07 ? 00:00:04 [rcu_sched]
......
......
0 R root 2130 1980 0 80 0 - 38831 - 21:54 pts/1 00:00:00 ps -elf
ps aux和ps -elf显示的信息基本上是一样的,下面介绍几个系统进程的参数。
PID:表示进程的ID,这个ID很有用。在Linux中,内核管理进程就得靠pid来识别和管理某一个进程。比如我想终止某一个进程,则用命令“kill 进程的pid”。有时这样并不能终止进程,需要加-9选项,即“kill -9 进程的pid”,但这样有点暴力,严重的时候会丢数据,所以尽量还是别用。
STAT:进程的状态。进程状态分为以下几种(不要求记住,但要了解)。
D:不能中断的进程(通常为IO)。
R(run):正在运行中的进程,其中包括了等待CPU时间片的进程。
S(sleep):已经中断的进程。通常情况下,系统的大部分进程都是这个状态。
T:已经停止或者暂停的进程。如果我们正在运行一个命令,比如说sleep 10,我们按一下Ctrl+Z暂停进程时,用ps命令查看就会显示T这个状态。
W:(内核2.6xx以后不可用),没有足够的内存页分配。
X:已经死掉的进程(这个好像从来不会出现)。
Z:僵尸进程,即杀不掉、打不死的垃圾进程,占用系统一点资源,不过没有关系。如果占用太多(一般不会出现),就需要重视了。
<:高优先级进程。
N:低优先级进程。
L:在内存中被锁了内存分页。
s:主进程,nginx或者php-fpm服务这种。
l:多线程进程。
+:在前台运行的进程,比如在当前终端执行ps aux就是前台进程。
- ps aux | grep 进程名
[root@minglinux-01 ~]# ps aux | grep mysql
root 2127 0.0 0.0 112720 984 pts/1 S+ 21:52 0:00 grep --color=auto mysql
[root@minglinux-01 ~]# ps aux | grep nginx
root 2129 0.0 0.0 112720 984 pts/1 S+ 21:52 0:00 grep --color=auto nginx
四、查看网络状态
- netstat 查看网络状况
netstat命令用来打印Linux中网络系统的状态信息,可让你得知整个Linux系统的网络情况。
[root@minglinux-01 ~]# netstat | head
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 52 minglinux-01:ssh 192.168.89.1:63559 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 3 [ ] DGRAM 8020 /run/systemd/notify
unix 2 [ ] DGRAM 8022 /run/systemd/cgroups-agent
unix 5 [ ] DGRAM 8037 /run/systemd/journal/socket
unix 10 [ ] DGRAM 8039 /dev/log
unix 2 [ ] DGRAM 13781 /run/systemd/shutdownd
- netstat -lnp查看监听端口
[root@minglinux-01 ~]# netstat -lnp | head
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1193/master
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 933/sshd
tcp6 0 0 ::1:25 :::* LISTEN 1193/master
tcp6 0 0 :::22 :::* LISTEN 933/sshd
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 18860 1193/master private/bounce
unix 2 [ ACC ] STREAM LISTENING 18863 1193/master private/defer
- netstat -an查看系统的网
络连接状况
[root@minglinux-01 ~]# netstat -an |head -n 20
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 52 192.168.89.130:22 192.168.89.1:63559 ESTABLISHED
tcp6 0 0 ::1:25 :::* LISTEN
tcp6 0 0 :::22 :::* LISTEN
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 18860 private/bounce
unix 2 [ ACC ] STREAM LISTENING 18863 private/defer
unix 2 [ ACC ] STREAM LISTENING 18866 private/trace
unix 2 [ ACC ] STREAM LISTENING 12834 /run/systemd/private
unix 2 [ ACC ] STREAM LISTENING 18869 private/verify
unix 2 [ ACC ] STREAM LISTENING 18875 private/proxymap
unix 2 [ ACC ] STREAM LISTENING 18878 private/proxywrite
unix 2 [ ACC ] STREAM LISTENING 18881 private/smtp
unix 2 [ ACC ] STREAM LISTENING 18884 private/relay
unix 2 [ ACC ] STREAM LISTENING 18890 private/error
unix 2 [ ACC ] STREAM LISTENING 18893 private/retry
- netstat -lntp只看出tcp的,不包括socket
[root@minglinux-01 ~]# netstat -lntp |head -n 20
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1193/master
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 933/sshd
tcp6 0 0 ::1:25 :::* LISTEN 1193/master
tcp6 0 0 :::22 :::* LISTEN 933/sshd
- ss -an和netstat异曲同工
[root@minglinux-01 ~]# ss -an |grep -i listen
u_str LISTEN 0 100 private/bounce 18860 * 0
u_str LISTEN 0 100 private/defer 18863 * 0
u_str LISTEN 0 100 private/trace 18866 * 0
u_str LISTEN 0 128 /run/systemd/private 12834 * 0
u_str LISTEN 0 100 private/verify 18869 * 0
u_str LISTEN 0 100 private/proxymap 18875 * 0
u_str LISTEN 0 100 private/proxywrite 18878 * 0
u_str LISTEN 0 100 private/smtp 18881 * 0
u_str LISTEN 0 100 private/relay 18884 * 0
u_str LISTEN 0 100 private/error 18890 * 0
u_str LISTEN 0 100 private/retry 18893 * 0
u_str LISTEN 0 100 private/discard 18896 * 0
u_str LISTEN 0 100 private/local 18899 * 0
u_seq LISTEN 0 128 /run/udev/control 13611 * 0
u_str LISTEN 0 100 private/virtual 18902 * 0
u_str LISTEN 0 100 private/lmtp 18905 * 0
u_str LISTEN 0 100 private/anvil 18908 * 0
u_str LISTEN 0 100 private/scache 18911 * 0
u_str LISTEN 0 128 /run/lvm/lvmetad.socket 12851 * 0
u_str LISTEN 0 128 /run/systemd/journal/stdout 8034 * 0
u_str LISTEN 0 100 public/pickup 18843 * 0
u_str LISTEN 0 100 public/cleanup 18847 * 0
u_str LISTEN 0 100 public/qmgr 18850 * 0
u_str LISTEN 0 100 public/flush 18872 * 0
u_str LISTEN 0 100 public/showq 18887 * 0
u_str LISTEN 0 128 /run/lvm/lvmpolld.socket 12913 * 0
u_str LISTEN 0 32 /var/run/vmware/guestServicePipe 17548 * 0
u_str LISTEN 0 128 /run/dbus/system_bus_socket 16580 * 0
u_str LISTEN 0 100 private/tlsmgr 18854 * 0
u_str LISTEN 0 100 private/rewrite 18857 * 0
tcp LISTEN 0 100 127.0.0.1:25 *:*
tcp LISTEN 0 128 *:22 *:*
tcp LISTEN 0 100 ::1:25 :::*
tcp LISTEN 0 128 :::22 :::*
- 一个小技巧
使用netstat -an | awk '/^tcp/ {++sta[$NF]} END {for(key in sta) print key,"\t",sta[key]}'
命令查看所有网络状态的个数,运行效果如下:
[root@minglinux-01 ~]# netstat -an | awk '/^tcp/ {++sta[$NF]} END {for(key in sta) print key,"\t",sta[key]}'
LISTEN 4
ESTABLISHED 1
五、linux下抓包
有时也许想看一下某个网卡上都有哪些数据包,尤其是当你初步判定服务器上有流量攻击时,使用抓包工具来抓取数据包就可以知道有哪些IP在攻击了。
- tcpdump 工具
tcpdump命令是一款sniffer工具,它可以打印所有经过网络接口的数据包的头信息,也可以使用w
命令选项将数据包保存到文件中,方便以后分析。
指定ens33网卡:
[root@minglinux-01 ~]# tcpdump -nn -i ens33
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
23:09:07.830370 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 2227969015:2227969227, ack 3242422916, win 318, length 212
23:09:07.830637 IP 192.168.89.1.63559 > 192.168.89.130.22: Flags [.], ack 212, win 2051, length 0
23:09:07.830664 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 212:408, ack 1, win 318, length 196
23:09:07.830809 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 408:684, ack 1, win 318, length 276
23:09:07.831004 IP 192.168.89.1.63559 > 192.168.89.130.22: Flags [.], ack 684, win 2049, length 0
23:09:07.831015 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 684:848, ack 1, win 318, length 164
23:09:07.831159 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 848:1124, ack 1, win 318, length 276
23:09:07.831305 IP 192.168.89.1.63559 > 192.168.89.130.22: Flags [.], ack 1124, win 2048, length 0
23:09:07.831444 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 1124:1400, ack 1, win 318, length 276
23:09:07.831632 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 1400:1564, ack 1, win 318, length 164
23:09:07.831777 IP 192.168.89.1.63559 > 192.168.89.130.22: Flags [.], ack 1564, win 2053, length 0
23:09:07.832207 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 1564:1840, ack 1, win 318, length 276
23:09:07.832335 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 1840:2004, ack 1, win 318, length 164
23:09:07.832691 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 2004:2168, ack 1, win 318, length 164
23:09:07.832731 IP 192.168.89.1.63559 > 192.168.89.130.22: Flags [.], ack 2004, win 2051, length 0
......
......
上例中,我们只需要关注第3列和第4列,它们显示的信息为哪一个IP+端口号在连接哪一个IP+端口号。-i选项后面跟设备名称,-nn选项的作用是让第3列和第4列显示成“IP+端口号”的形式,如果不加-nn选项则显示 “主机名+服务名称”。
一些常用示例命令:
tcpdump -nn -i ens33 port 22 // 这样指定只抓22端口的包
tcpdump –nn –i ens33 tcp and not port 22 // 指定抓tcp的包,但是不要22端口的
tcpdump –nn –i ens33 port 22 and port 53 // 只抓22和53端口的包
使用-c选项指定抓包数量,抓够了自动退出,不用我们人为取消。示例命令如下:
[root@minglinux-01 ~]# tcpdump -nn -i ens33 -c 10
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
23:13:47.949425 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 2228044007:2228044219, ack 3242423812, win 318, length 212
23:13:47.949665 IP 192.168.89.1.63559 > 192.168.89.130.22: Flags [.], ack 212, win 2049, length 0
23:13:47.949778 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 212:504, ack 1, win 318, length 292
23:13:47.949947 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 504:668, ack 1, win 318, length 164
23:13:47.950085 IP 192.168.89.1.63559 > 192.168.89.130.22: Flags [.], ack 668, win 2047, length 0
23:13:47.950298 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 668:944, ack 1, win 318, length 276
23:13:47.950501 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 944:1108, ack 1, win 318, length 164
23:13:47.950623 IP 192.168.89.1.63559 > 192.168.89.130.22: Flags [.], ack 1108, win 2053, length 0
23:13:47.950870 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 1108:1272, ack 1, win 318, length 164
23:13:47.951093 IP 192.168.89.130.22 > 192.168.89.1.63559: Flags [P.], seq 1272:1548, ack 1, win 318, length 276
10 packets captured
11 packets received by filter
0 packets dropped by kernel
使用-w选项可以将数据包存为文件,示例命令如下:
[root@minglinux-01 ~]# tcpdump -nn -i ens33 -c 20 -w /tmp/1.cap
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
20 packets captured
21 packets received by filter
0 packets dropped by kernel
[root@minglinux-01 ~]# file /tmp/1.cap
/tmp/1.cap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144)
这个数据包文件是不能cat查看的,可以使用tcpdump -r /tmp/1.cap
查看这个抓取的数据包。如下所示:
[root@minglinux-01 ~]# tcpdump -r /tmp/1.cap
reading from file /tmp/1.cap, link-type EN10MB (Ethernet)
23:17:32.628528 IP minglinux-01.ssh > 192.168.89.1.63559: Flags [P.], seq 2228049975:2228050123, ack 3242427824, win 318, length 148
23:17:32.629804 IP 192.168.89.1.63559 > minglinux-01.ssh: Flags [.], ack 148, win 2051, length 0
23:17:54.665109 ARP, Request who-has 192.168.89.132 tell 192.168.89.1, length 46
23:17:55.432914 ARP, Request who-has 192.168.89.132 tell 192.168.89.1, length 46
23:17:56.433760 ARP, Request who-has 192.168.89.132 tell 192.168.89.1, length 46
23:17:57.659975 ARP, Request who-has 192.168.89.132 tell 192.168.89.1, length 46
23:17:58.433344 ARP, Request who-has 192.168.89.132 tell 192.168.89.1, length 46
23:17:59.433331 ARP, Request who-has 192.168.89.132 tell 192.168.89.1, length 46
23:18:03.661121 ARP, Request who-has 192.168.89.132 tell 192.168.89.1, length 46
23:18:04.433721 ARP, Request who-has 192.168.89.132 tell 192.168.89.1, length 46
23:18:05.433651 ARP, Request who-has 192.168.89.132 tell 192.168.89.1, length 46
23:18:06.933340 ARP, Request who-has gateway tell 192.168.89.1, length 46
23:18:09.567999 ARP, Request who-has gateway tell 192.168.89.1, length 46
23:18:10.433913 ARP, Request who-has gateway tell 192.168.89.1, length 46
23:18:11.051215 IP 192.168.89.1.56931 > 239.255.255.250.ssdp: UDP, length 173
23:18:11.433826 ARP, Request who-has gateway tell 192.168.89.1, length 46
23:18:12.053075 IP 192.168.89.1.56931 > 239.255.255.250.ssdp: UDP, length 173
23:18:12.568608 ARP, Request who-has gateway tell 192.168.89.1, length 46
23:18:12.861648 IP 192.168.89.1.65334 > minglinux-01.ssh: Flags [S], seq 2285184601, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
23:18:12.862088 IP minglinux-01.ssh > 192.168.89.1.65334: Flags [S.], seq 3226606057, ack 2285184602, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
- wireshark 工具
yum install -y wireshark
安装
记一下如下这个命令:
tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"
扩展
tcp三次握手四次挥手 http://www.doc88.com/p-9913773324388.html
tshark几个用法:http://www.aminglinux.com/bbs/thread-995-1-1.html