【原创】使用netstat监控连接数后使用tcpdump抓包

da11

现时全球网络攻击层出不穷，各种ddos无差别攻击成为常态，我们这些小型站长虽说不会主动攻击我们，但是我们有防御的念头。以下将会讲解通过使用netstat命令监控进程连接数的后使用tcpdump抓包。

1.每秒执行一次netstat命令获取端口连接数
#watch 循环执行后面参数的命令，如命令需要多参数及管道，需要用双引号引起来
#netstat -n 选项，显示ip地址，不显示主机名

watch "netstat -n | grep tcp | grep 9090"


网络传输协议                         监听的本地ip及端口            对方连接的ip及端口     三次握手连接状态（ESTABILSHED状态可以理解为成功连接）
tcp6                           0               0       x.x.x.x:9090                        x.x.x.112:3013             ESTABILSHED

#如直接监控连接成功的连接数可以加多个grep筛选：watch "netstat -n | grep tcp | grep 9090 | grep ESTABLISHED"

【
TCP连接状态 :
服务器端：LISTEN：侦听来自远方的TCP端口的连接请求
客户端：SYN-SENT：再发送连接请求后等待匹配的连接请求
服务器端：SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认
客户端/服务器端：ESTABLISHED：代表一个打开的连接
客户端：FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认
服务器端：CLOSE-WAIT：等待从本地用户发来的连接中断请求
客户端：FIN-WAIT-2：从远程TCP等待连接中断请求
服务器端：LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认
客户端：TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认
服务器端：CLOSED：没有任何连接状态
具体的TCP三次握手查看：https://www.swztdza.cn/dalt/foru ... =264&extra=page%3D1
】

2.根据上图获取的对方连接的ip，根据tcpdump命令抓包
#tcpdump -i  指定网卡名称抓包，host 指定主机ip抓包
#tcpdump需要使用root权限！

tcpdump -i ethx host  x.x.x.112