企业网站制作教程视频,吴苏南网站建设,江苏省质量建设厅网站,长沙圭塘网站建设公司在Linux网络管理和监控领域#xff0c;conntrack命令是一个强大的工具#xff0c;它提供了对netfilter连接跟踪系统的直接访问#x1f50d;。这篇文章将深入探讨conntrack的由来、底层原理、参数意义#xff0c;以及其常见用法#xff0c;并对返回结果的每个字段进行详细解…在Linux网络管理和监控领域conntrack命令是一个强大的工具它提供了对netfilter连接跟踪系统的直接访问。这篇文章将深入探讨conntrack的由来、底层原理、参数意义以及其常见用法并对返回结果的每个字段进行详细解释。
1. conntrack的由来
conntrack命令源于Linux的netfilter项目这是一个内置于Linux内核中的网络包处理模块。Netfilter支持各种网络相关任务如包过滤防火墙、网络地址转换NAT和连接跟踪。conntrack工具最初设计的目的是为了管理和监视netfilter的连接跟踪系统这个系统记录了所有经过防火墙的网络连接的状态信息。
2. 底层原理
conntrack工具的底层原理基于netfilter的连接跟踪表该表位于内核空间。每当网络包经过netfilter时连接跟踪系统会检查包的信息如源IP地址、目的IP地址、传输层协议TCP/UDP、端口等并据此更新内部的连接跟踪表。这个表包含了所有活跃连接的状态信息例如是否已建立连接、连接是否已关闭等。
3. 参数解释
conntrack命令支持多种参数用于执行不同的操作✅
-L, --list列出连接跟踪表中的所有条目。-G, --get获取单个连接跟踪条目的信息。-D, --delete从连接跟踪表中删除条目。-I, --create创建一个新的连接跟踪条目。-U, --update更新已存在的连接跟踪条目。-E, --event监听连接跟踪事件。
4. conntrack返回结果解释
当你运行conntrack -L时会看到类似以下的输出
tcp 6 431999 ESTABLISHED src192.168.1.2 dst93.184.216.34 sport34567 dport80 [UNREPLIED] src93.184.216.34 dst192.168.1.2 sport80 dport34567每个字段的含义如下 协议表示连接使用的协议如tcp、udp等。 协议号表示连接使用的协议号如6代表tcp连接、17代表udp连接等。 TCP状态计数器可以理解为超时时间Timeout表示连接条目在连接跟踪表中保持的剩余时间秒。当这个时间到达0时条目将被自动从跟踪表中移除。 对于TCP连接该数字表示连接跟踪条目在内核连接跟踪表中的剩余时间。这个计时器的值会根据连接的状态如ESTABLISHED、TIME_WAIT等和配置的超时设置变化。计时器的值为零时连接跟踪条目会从表中删除。对于非TCP连接如UDP因为UDP是无连接的所以这个计数器代表连接跟踪条目在没有任何新的数据包更新的情况下还可以在连接跟踪表中存活多长时间。 连接状态描述TCP连接的当前状态。 ESTABLISHED已建立连接TIME_WAIT等待足够的时间以确保远程TCP接收到连接终止请求的确认CLOSE_WAITCLOSE_WAIT状态表示对端远程主机已经关闭了连接的一半发送了一个FIN包并且本地端你的计算机已经接收到这个关闭请求但是本地应用程序还没有关闭或者说还没有调用close来关闭连接。简单来说CLOSE_WAIT状态意味着TCP连接在等待本地应用程序去关闭连接。SYN_SENT客户端已发送一个连接请求SYN包给服务器并等待服务器的确认。这表示客户端已经开始了TCP三次握手过程SYN_RECE服务器收到客户端的SYN包并回应一个SYNACK包等待客户端的确认。这个状态表示服务器端已经响应了连接请求正在进行三次握手的第二步。FIN_WAIT_1的一方通常是客户端决定关闭连接并发送一个FIN包给对方等待对方的确认。这标志着连接关闭过程的开始FIN_WAIT_2在发送FIN包并收到ACK包后连接进入FIN_WAIT_2状态。在这个状态下连接的关闭一方等待对方的FIN包。CLOSE_WAIT当一方收到另一方的FIN包即对方请求关闭连接时它会发送一个ACK包作为回应并进入CLOSE_WAIT状态。在这个状态下等待本地应用程序关闭连接。CLOSING在同时关闭的情况下当双方几乎同时发送FIN包时连接会进入CLOSING状态表示双方都在等待对方的FIN包的确认。LAST_ACK当处于CLOSE_WAIT状态的一方发送FIN包并等待对方的最终ACK包时连接进入LAST_ACK状态。TIME_WAIT在收到对方的FIN包并发送ACK包后连接进入TIME_WAIT状态。这个状态持续一段时间2倍的MSL最大报文生存时间以确保对方收到了最终的ACK包。这也允许老的重复数据包在网络中消失。CLOSED连接完全关闭两端都释放了连接的资源。 源地址src、目的地址dst发送数据包的主机的IP地址。src源IP dst目的IP表示数据包的源和目的IP地址。 源端口sport、目的端口dport发送数据包的主机的端口号。sport源端口 dport目的端口表示数据包的源和目的端口号。 [UNREPLIED] / [ASSURED] [UNREPLIED]表示从源到目标的连接请求尚未收到回复。[ASSURED]表示连接已经被确认不会因为短时间内没有数据包而被清除。 Mark标记mark字段用于表示特定的连接跟踪条目被打上的标记或称为标签 这个标记是一个整数值通常由防火墙规则如iptables设置用于对特定的数据包或连接进行分类或执行特定的处理逻辑。可能的取值mark的取值范围是从0到4294967295即2^32-1其中0通常表示未被标记的连接。非零的值则根据实际的防火墙规则和策略而定不同的值可以代表不同的分类或处理逻辑。例如在某些配置中mark可以用来区分经过VPN的流量、被特定规 Use使用use字段表示当前有多少个内核组件正在引用这个连接跟踪条目。简而言之它表明这个连接跟踪条目的“使用度”或“引用计数”。 可能的取值use的取值是一个正整数起始值至少为1表示至少有一个引用即连接跟踪本身。如果有多个内核组件因为某些原因如特定的路由或防火墙规则同时需要跟踪这个连接use的值会相应增加。一般而言大多数情况下use的值会比较低除非系统配置导致多个组件需要引用同一个连接跟踪条目。
4.1. 例一查看所有TCP连接
命令conntrack -L -p tcp
示例输出
tcp 6 431999 ESTABLISHED src192.168.1.100 dst192.168.1.1 sport34567 dport22 [ASSURED] mark0 use1解释
这是一个TCP连接连接状态为ESTABLISHED。连接从源地址192.168.1.100的34567端口到目的地址192.168.1.1的22端口。[ASSURED]表示连接已经被确认。mark0 use1提供了额外的连接标记和使用信息。
4.2. 例二查看所有UDP连接
命令conntrack -L -p udp
示例输出
udp 17 28 src192.168.1.100 dst192.168.1.255 sport137 dport137 [UNREPLIED] src192.168.1.255 dst192.168.1.100 sport137 dport137 mark0 use1解释
这是一个UDP连接通常用于网络广播。连接尝试从192.168.1.100到192.168.1.255这是一个局域网广播地址。[UNREPLIED]标志表示广播请求尚未收到回复。
4.3. 例三监听连接跟踪事件
命令conntrack -E
示例输出实时显示连接跟踪事件如新建NEW、更新UPDATE和销毁DESTROY事件。
rootlinux-study:~# conntrack -E|head -n 20
[DESTROY] tcp 6 src192.168.201.109 dst182.75.23.156 sport40175 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport40175 [ASSURED][NEW] tcp 6 120 SYN_SENT src192.168.201.109 dst182.75.23.156 sport40175 dport443 [UNREPLIED] src182.75.23.156 dst172.30.3.222 sport443 dport40175[UPDATE] tcp 6 60 SYN_RECV src192.168.201.109 dst182.75.23.156 sport40175 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport40175[UPDATE] tcp 6 432000 ESTABLISHED src192.168.201.109 dst182.75.23.156 sport40175 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport40175 [ASSURED][NEW] tcp 6 120 SYN_SENT src192.168.201.109 dst182.75.23.156 sport24526 dport443 [UNREPLIED] src182.75.23.156 dst172.30.3.222 sport443 dport24526[UPDATE] tcp 6 60 SYN_RECV src192.168.201.109 dst182.75.23.156 sport24526 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport24526[UPDATE] tcp 6 432000 ESTABLISHED src192.168.201.109 dst182.75.23.156 sport24526 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport24526 [ASSURED][NEW] tcp 6 120 SYN_SENT src192.168.201.110 dst182.75.23.156 sport6069 dport443 [UNREPLIED] src182.75.23.156 dst172.30.3.222 sport443 dport6069[UPDATE] tcp 6 60 SYN_RECV src192.168.201.110 dst182.75.23.156 sport6069 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport6069[UPDATE] tcp 6 432000 ESTABLISHED src192.168.201.110 dst182.75.23.156 sport6069 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport6069 [ASSURED][UPDATE] tcp 6 120 FIN_WAIT src192.168.201.109 dst182.75.23.156 sport24526 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport24526 [ASSURED][UPDATE] tcp 6 60 CLOSE_WAIT src192.168.201.109 dst182.75.23.156 sport24526 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport24526 [ASSURED][UPDATE] tcp 6 30 LAST_ACK src192.168.201.109 dst182.75.23.156 sport24526 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport24526 [ASSURED][UPDATE] tcp 6 120 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport24526 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport24526 [ASSURED][NEW] tcp 6 120 SYN_SENT src192.168.201.109 dst182.75.23.156 sport7378 dport443 [UNREPLIED] src182.75.23.156 dst172.30.3.222 sport443 dport7378[UPDATE] tcp 6 60 SYN_RECV src192.168.201.109 dst182.75.23.156 sport7378 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport7378[UPDATE] tcp 6 432000 ESTABLISHED src192.168.201.109 dst182.75.23.156 sport7378 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport7378 [ASSURED][UPDATE] tcp 解释
实时监控连接状态变化有助于诊断网络问题和分析流量模式。
4.4. 例四解释协议号和TCP状态计数器
考虑以下conntrack命令的输出示例
tcp 6 431999 ESTABLISHED src192.168.1.100 dst93.184.216.34 sport34567 dport80 [ASSURED] mark0 use1
udp 17 170 src192.168.1.100 dst192.168.1.255 sport137 dport137 [UNREPLIED] src192.168.1.255 dst192.168.1.100 sport137 dport137 mark0 use1在这个示例中
对于TCP连接6是TCP的协议号431999是剩余的计时器值单位是秒表示该TCP连接跟踪条目将在大约431999秒后从连接跟踪表中移除除非有新的数据包更新此连接状态。对于UDP连接17是UDP的协议号170是剩余的计时器值表示该UDP连接跟踪条目将在170秒后从连接跟踪表中移除如果没有新的数据包到达更新状态。
5. 常见用法️
5.1. 列出所有连接
命令conntrack -L
rootlinux-study:~# conntrack -L|head
tcp 6 75 TIME_WAIT src192.168.201.108 dst182.75.23.156 sport12753 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport12753 [ASSURED] mark0 use1
tcp 6 29 TIME_WAIT src192.168.201.104 dst182.75.23.156 sport22689 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport22689 [ASSURED] mark0 use1
tcp 6 2 CLOSE src192.168.201.109 dst182.75.23.156 sport55566 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport55566 [ASSURED] mark0 use1
tcp 6 80 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport3815 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport3815 [ASSURED] mark0 use1
tcp 6 37 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport5126 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport5126 [ASSURED] mark0 use1
tcp 6 0 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport64894 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport64894 [ASSURED] mark0 use1
tcp 6 5 CLOSE src192.168.201.109 dst182.75.23.156 sport15022 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport15022 [ASSURED] mark0 use1
tcp 6 12 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport46340 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport46340 [ASSURED] mark0 use1
tcp 6 21 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport62983 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport62983 [ASSURED] mark0 use1
tcp 6 47 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport63001 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport63001 [ASSURED] mark0 use1
rootlinux-study:~#5.2. 过滤特定协议的连接
只显示TCP连接条目命令conntrack -L -p tcp
rootlinux-study:~# conntrack -L -p tcp|head
tcp 6 40 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport40143 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport40143 [ASSURED] mark0 use1
tcp 6 46 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport49611 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport49611 [ASSURED] mark0 use1
tcp 6 96 TIME_WAIT src192.168.201.108 dst182.75.23.156 sport51938 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport51938 [ASSURED] mark0 use1
tcp 6 25 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport45806 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport45806 [ASSURED] mark0 use1
tcp 6 10 TIME_WAIT src192.168.201.108 dst182.75.23.156 sport39921 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport39921 [ASSURED] mark0 use1
tcp 6 23 TIME_WAIT src192.168.201.108 dst182.75.23.156 sport21268 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport21268 [ASSURED] mark0 use1
tcp 6 114 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport64894 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport64894 [ASSURED] mark0 use1
tcp 6 59 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport24358 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport24358 [ASSURED] mark0 use1
tcp 6 39 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport20256 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport20256 [ASSURED] mark0 use1
tcp 6 49 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport51766 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport51766 [ASSURED] mark0 use1
rootlinux-study:~# 只显示UDP连接条目命令conntrack -L -p udp
rootlinux-study:~# conntrack -L -p udp
udp 17 12 src192.168.201.101 dst172.30.3.22 sport60049 dport53 src172.30.3.22 dst172.30.3.222 sport53 dport60049 mark0 use1
udp 17 15 src192.168.201.103 dst172.30.3.22 sport56998 dport53 src172.30.3.22 dst172.30.3.222 sport53 dport56998 mark0 use1
udp 17 26 src0.0.0.0 dst255.255.255.255 sport68 dport67 [UNREPLIED] src255.255.255.255 dst0.0.0.0 sport67 dport68 mark0 use1
udp 17 7 src172.22.77.130 dst172.30.3.222 sport500 dport500 src192.168.201.104 dst172.22.77.130 sport20500 dport500 mark0 use1
udp 17 23 src172.30.3.67 dst172.30.3.255 sport138 dport138 [UNREPLIED] src172.30.3.255 dst172.30.3.67 sport138 dport138 mark0 use1
udp 17 24 src192.168.201.112 dst169.254.253.1 sport23965 dport514 [UNREPLIED] src169.254.253.1 dst172.30.3.222 sport514 dport23965 mark0 use1
udp 17 96 src192.168.201.102 dst172.30.3.22 sport59242 dport53 src172.30.3.22 dst172.30.3.222 sport53 dport59242 [ASSURED] mark0 use1
udp 17 16 src192.168.201.103 dst172.30.3.22 sport36173 dport53 src172.30.3.22 dst172.30.3.222 sport53 dport36173 [ASSURED] mark0 use1
udp 17 28 src192.168.201.113 dst169.254.253.1 sport10503 dport514 [UNREPLIED] src169.254.253.1 dst172.30.3.222 sport514 dport10503 mark0 use1
udp 17 2 src172.30.3.138 dst172.30.3.255 sport50195 dport21027 [UNREPLIED] src172.30.3.255 dst172.30.3.138 sport21027 dport50195 mark0 use1
udp 17 109 src192.168.201.103 dst172.30.3.22 sport46015 dport53 src172.30.3.22 dst172.30.3.222 sport53 dport46015 [ASSURED] mark0 use1
udp 17 65 src192.168.201.101 dst172.30.3.22 sport34401 dport53 src172.30.3.22 dst172.30.3.222 sport53 dport34401 [ASSURED] mark0 use1
udp 17 35 src192.168.201.102 dst172.30.3.22 sport60903 dport53 src172.30.3.22 dst172.30.3.222 sport53 dport60903 [ASSURED] mark0 use1
udp 17 118 src172.22.77.130 dst172.30.3.222 sport4500 dport4500 src192.168.201.104 dst172.22.77.130 sport24500 dport4500 [ASSURED] mark0 use1
udp 17 4 src192.168.201.101 dst91.189.91.157 sport58566 dport123 src91.189.91.157 dst172.30.3.222 sport123 dport58566 mark0 use1
udp 17 74 src192.168.201.103 dst172.30.3.22 sport52279 dport53 src172.30.3.22 dst172.30.3.222 sport53 dport52279 [ASSURED] mark0 use1
udp 17 27 src192.168.201.110 dst169.254.253.1 sport63647 dport514 [UNREPLIED] src169.254.253.1 dst172.30.3.222 sport514 dport63647 mark0 use1
udp 17 28 src192.168.201.113 dst169.254.253.1 sport60794 dport514 [UNREPLIED] src169.254.253.1 dst172.30.3.222 sport514 dport60794 mark0 use1
conntrack v1.4.5 (conntrack-tools): 18 flow entries have been shown.
rootlinux-study:~#5.3. 删除指定连接
命令conntrack -D --src 192.168.1.2
5.4. 显示具有特定状态的连接条目
只显示处于ESTABLISHED状态的TCP连接conntrack -L -p tcp --state ESTABLISHED
rootlinux-study:~# conntrack -L -p tcp --state ESTABLISHED|head
tcp 6 431991 ESTABLISHED src172.22.70.136 dst172.30.3.222 sport43000 dport443 src192.168.201.107 dst172.22.70.136 sport59443 dport43000 [ASSURED] mark0 use1
tcp 6 431951 ESTABLISHED src172.30.5.90 dst172.30.3.222 sport65130 dport22 src172.30.3.222 dst172.30.5.90 sport22 dport65130 [ASSURED] mark0 use1
tcp 6 431996 ESTABLISHED src192.168.201.2 dst192.168.201.101 sport37554 dport6443 src192.168.201.101 dst192.168.201.2 sport6443 dport37554 [ASSURED] mark0 use1
tcp 6 431992 ESTABLISHED src172.30.3.192 dst172.30.3.222 sport54920 dport443 src192.168.201.107 dst172.30.3.192 sport59443 dport54920 [ASSURED] mark0 use1
tcp 6 431955 ESTABLISHED src192.168.201.108 dst182.75.23.156 sport33186 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport33186 [ASSURED] mark0 use1
tcp 6 431999 ESTABLISHED src192.168.201.109 dst182.75.23.156 sport16756 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport16756 [ASSURED] mark0 use1
tcp 6 431647 ESTABLISHED src172.22.3.199 dst172.30.3.222 sport60828 dport22 src172.30.3.222 dst172.22.3.199 sport22 dport60828 [ASSURED] mark0 use1
tcp 6 431998 ESTABLISHED src192.168.201.108 dst182.75.23.156 sport22507 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport22507 [ASSURED] mark0 use1
tcp 6 431999 ESTABLISHED src192.168.201.108 dst182.75.23.156 sport17720 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport17720 [ASSURED] mark0 use1
tcp 6 431999 ESTABLISHED src192.168.201.111 dst182.75.23.156 sport21704 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport21704 [ASSURED] mark0 use1
rootlinux-study:~#
5.5. 删除所有处于特定状态的连接
删除所有处于TIME_WAIT状态的连接条目conntrack -D --state TIME_WAIT
5.6. 过滤并显示来自或发送到特定IP的连接条目
显示所有来自特定IP地址的连接条目conntrack -L -s 192.168.201.111
rootlinux-study:~# conntrack -L -s 192.168.201.111|head
tcp 6 5 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport33961 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport33961 [ASSURED] mark0 use1
tcp 6 43 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport11361 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport11361 [ASSURED] mark0 use1
tcp 6 75 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport21555 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport21555 [ASSURED] mark0 use1
tcp 6 101 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport1895 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport1895 [ASSURED] mark0 use2
tcp 6 85 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport19260 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport19260 [ASSURED] mark0 use1
tcp 6 15 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport5298 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport5298 [ASSURED] mark0 use1
tcp 6 2 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport2753 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport2753 [ASSURED] mark0 use1
tcp 6 1 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport53251 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport53251 [ASSURED] mark0 use1
tcp 6 114 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport31972 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport31972 [ASSURED] mark0 use1
tcp 6 114 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport47645 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport47645 [ASSURED] mark0 use1
rootlinux-study:~#显示所有发送到特定IP地址的连接条目conntrack -L -d 182.75.23.156
ootlinux-study:~# conntrack -L -d 182.75.23.156|head
tcp 6 35 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport50720 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport50720 [ASSURED] mark0 use1
tcp 6 111 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport38312 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport38312 [ASSURED] mark0 use1
tcp 6 21 TIME_WAIT src192.168.201.106 dst182.75.23.156 sport8688 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport8688 [ASSURED] mark0 use1
tcp 6 113 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport54751 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport54751 [ASSURED] mark0 use1
tcp 6 103 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport22584 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport22584 [ASSURED] mark0 use1
tcp 6 6 CLOSE src192.168.201.110 dst182.75.23.156 sport40445 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport40445 [ASSURED] mark0 use1
tcp 6 85 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport46340 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport46340 [ASSURED] mark0 use1
tcp 6 66 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport12944 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport12944 [ASSURED] mark0 use1
tcp 6 59 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport5575 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport5575 [ASSURED] mark0 use1
tcp 6 34 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport47638 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport47638 [ASSURED] mark0 use1
rootlinux-study:~#5.7. 使用源或目的端口过滤连接条目
显示所有使用特定源端口的连接条目conntrack -L -p tcp --sport 22
rootlinux-study:~#
rootlinux-study:~# conntrack -L -p tcp --sport 57112
tcp 6 61 TIME_WAIT src192.168.201.108 dst182.75.23.156 sport57112 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport57112 [ASSURED] mark0 use1
conntrack v1.4.5 (conntrack-tools): 1 flow entries have been shown.
rootlinux-study:~#
rootlinux-study:~#显示所有使用特定目的端口的连接条目conntrack -L -p tcp --dport 443
rootlinux-study:~# conntrack -L -p tcp --dport 443|head
tcp 6 102 TIME_WAIT src192.168.201.110 dst182.75.23.156 sport9099 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport9099 [ASSURED] mark0 use1
tcp 6 37 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport3253 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport3253 [ASSURED] mark0 use1
tcp 6 8 CLOSE src192.168.201.110 dst182.75.23.156 sport21568 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport21568 [ASSURED] mark0 use1
tcp 6 39 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport19778 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport19778 [ASSURED] mark0 use1
tcp 6 85 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport16067 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport16067 [ASSURED] mark0 use1
tcp 6 58 TIME_WAIT src192.168.201.111 dst182.75.23.156 sport43727 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport43727 [ASSURED] mark0 use1
tcp 6 54 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport3599 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport3599 [ASSURED] mark0 use1
tcp 6 0 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport47476 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport47476 [ASSURED] mark0 use1
tcp 6 55 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport62983 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport62983 [ASSURED] mark0 use1
tcp 6 119 TIME_WAIT src192.168.201.109 dst182.75.23.156 sport56724 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport56724 [ASSURED] mark0 use1
rootlinux-study:~#5.8. 监听和显示连接跟踪事件
实时显示连接跟踪事件如新建连接、更新连接或销毁连接conntrack -E
rootlinux-study:~#
rootlinux-study:~# conntrack -E|head[UPDATE] tcp 6 60 SYN_RECV src192.168.201.109 dst182.75.23.156 sport61456 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport61456[UPDATE] tcp 6 432000 ESTABLISHED src192.168.201.109 dst182.75.23.156 sport61456 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport61456 [ASSURED][UPDATE] tcp 6 120 FIN_WAIT src192.168.201.109 dst182.75.23.156 sport61456 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport61456 [ASSURED][UPDATE] tcp 6 30 LAST_ACK src192.168.201.109 dst182.75.23.156 sport61456 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport61456 [ASSURED][UPDATE] tcp 6 10 CLOSE src192.168.201.109 dst182.75.23.156 sport61456 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport61456 [ASSURED][NEW] tcp 6 120 SYN_SENT src192.168.201.111 dst182.75.23.156 sport64550 dport443 [UNREPLIED] src182.75.23.156 dst172.30.3.222 sport443 dport64550[UPDATE] tcp 6 60 SYN_RECV src192.168.201.111 dst182.75.23.156 sport64550 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport64550[UPDATE] tcp 6 432000 ESTABLISHED src192.168.201.111 dst182.75.23.156 sport64550 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport64550 [ASSURED]
[DESTROY] tcp 6 src192.168.201.109 dst182.75.23.156 sport26138 dport443 src182.75.23.156 dst172.30.3.222 sport443 dport26138 [ASSURED][NEW] tcp 6 120 SYN_SENT src192.168.201.109 dst182.75.23.156 sport1302 dport443 [UNREPLIED] src182.75.23.156 dst172.30.3.222 sport443 dport1302
rootlinux-study:~#5.9. 从连接跟踪表中删除与特定IP相关的所有连接
删除与特定源IP地址相关的所有连接条目conntrack -D -s 192.168.1.100
删除与特定目的IP地址相关的所有连接条目conntrack -D -d 192.168.1.100
5.10. 利用NAT信息删除连接条目
删除所有源NATSNAT到特定IP的连接conntrack -D --src-nat 192.168.1.100
删除所有目的NATDNAT到特定IP的连接conntrack -D --dst-nat 192.168.1.100
当然让我们在适当的地方加入emoji来让回答更加生动
6. 案例分析
6.1. 案例1: 网络连接过多导致服务不可用
6.1.1. 问题描述
服务器突然无法响应初步怀疑是由于网络连接数过多导致。需要快速诊断是否有大量的网络连接占用了服务器资源。
6.2. 解决过程 首先使用conntrack -L命令列出当前所有的网络连接状态这能帮助我们快速获取当前的连接概览。 使用conntrack -C命令直接获取当前跟踪的连接总数这可以更快地帮助我们判断是否连接数过多。 如果发现连接数异常高使用conntrack -L | grep 状态 | wc -l状态比如ESTABLISHED来具体分析哪种类型的连接占比较高。 为了解决这个问题可以使用conntrack -D --dst 服务器IP来删除向特定目标IP地址的所有连接或者根据需要删除特定状态的连接如conntrack -D --state ESTABLISHED来减少活跃连接。 在处理完毕后监控服务器性能确保服务恢复正常。
6.3. 案例2: 疑似DDoS攻击 ️
6.3.1. 问题描述
服务器遭受疑似DDoS攻击导致正常服务受到影响。需要快速定位并减轻攻击。
6.3.2. 解决过程 使用conntrack -L命令查看当前的网络连接特别是那些状态为NEW但未得到回应的连接即[UNREPLIED]标记。 通过观察源IP分布使用conntrack -L | grep [UNREPLIED] | awk {print $NF} | sort | uniq -c | sort -nr来识别发送大量连接请求的源IP。 对于明显的攻击源可以使用conntrack -D --src 攻击源IP来直接从连接跟踪表中删除这些恶意连接⛔。 为进一步保护系统可以基于观察到的攻击模式通过防火墙规则如iptables阻止这些恶意IP的进一步连接尝试。
6.4. 案例3: 服务响应缓慢
6.4.1. 问题描述
用户报告特定服务响应缓慢。初步怀疑是网络层面的问题需要确认是否为网络连接问题。
6.4.2. 解决过程 使用conntrack -L | grep 特定服务的端口来查看与服务相关的网络连接状态从而判断是否有异常的连接状态。 如果发现有大量的SYN_RECV状态可能表明SYN Flood攻击或者服务端口无法及时处理入站连接请求。 对于这种情况可以通过调整服务器的TCP栈参数来提高处理能力同时使用conntrack -D命令删除一些长时间未建立的连接以减轻服务器负担。 长期解决方案可能需要增加服务器资源优化服务配置或者使用负载均衡等技术来改善服务响应。
7. 注意事项⚠️
大多数conntrack命令需要管理员权限root来执行。️删除连接条目时要格外小心因为这可能会影响正在进行的网络会话。⚠使用conntrack -E监听连接事件时输出可能会非常快速和大量可以考虑将其重定向到文件中或通过管道传递给grep进行过滤。 文章转载自: http://www.morning.rnsjp.cn.gov.cn.rnsjp.cn http://www.morning.cbnlg.cn.gov.cn.cbnlg.cn http://www.morning.fhwfk.cn.gov.cn.fhwfk.cn http://www.morning.jltmb.cn.gov.cn.jltmb.cn http://www.morning.llcgz.cn.gov.cn.llcgz.cn http://www.morning.xxrwp.cn.gov.cn.xxrwp.cn http://www.morning.jybj.cn.gov.cn.jybj.cn http://www.morning.rqmr.cn.gov.cn.rqmr.cn http://www.morning.rbyz.cn.gov.cn.rbyz.cn http://www.morning.psyrz.cn.gov.cn.psyrz.cn http://www.morning.ndyrb.com.gov.cn.ndyrb.com http://www.morning.horihe.com.gov.cn.horihe.com http://www.morning.hpcpp.cn.gov.cn.hpcpp.cn http://www.morning.hxwrs.cn.gov.cn.hxwrs.cn http://www.morning.horihe.com.gov.cn.horihe.com http://www.morning.smyxl.cn.gov.cn.smyxl.cn http://www.morning.nyjgm.cn.gov.cn.nyjgm.cn http://www.morning.cwqln.cn.gov.cn.cwqln.cn http://www.morning.jjxxm.cn.gov.cn.jjxxm.cn http://www.morning.jyzxt.cn.gov.cn.jyzxt.cn http://www.morning.bpmfz.cn.gov.cn.bpmfz.cn http://www.morning.fypgl.cn.gov.cn.fypgl.cn http://www.morning.tsnmt.cn.gov.cn.tsnmt.cn http://www.morning.zbtfz.cn.gov.cn.zbtfz.cn http://www.morning.pmsl.cn.gov.cn.pmsl.cn http://www.morning.qwmsq.cn.gov.cn.qwmsq.cn http://www.morning.tdfyj.cn.gov.cn.tdfyj.cn http://www.morning.dkfrd.cn.gov.cn.dkfrd.cn http://www.morning.ccyns.cn.gov.cn.ccyns.cn http://www.morning.rcwbc.cn.gov.cn.rcwbc.cn http://www.morning.clxpp.cn.gov.cn.clxpp.cn http://www.morning.hqqpy.cn.gov.cn.hqqpy.cn http://www.morning.gxwyr.cn.gov.cn.gxwyr.cn http://www.morning.xbmwm.cn.gov.cn.xbmwm.cn http://www.morning.nkqxb.cn.gov.cn.nkqxb.cn http://www.morning.dztp.cn.gov.cn.dztp.cn http://www.morning.clkjn.cn.gov.cn.clkjn.cn http://www.morning.sfnr.cn.gov.cn.sfnr.cn http://www.morning.xfdkh.cn.gov.cn.xfdkh.cn http://www.morning.yrblz.cn.gov.cn.yrblz.cn http://www.morning.lrzst.cn.gov.cn.lrzst.cn http://www.morning.rwpfb.cn.gov.cn.rwpfb.cn http://www.morning.jcxqc.cn.gov.cn.jcxqc.cn http://www.morning.rjynd.cn.gov.cn.rjynd.cn http://www.morning.ykwqz.cn.gov.cn.ykwqz.cn http://www.morning.txzqf.cn.gov.cn.txzqf.cn http://www.morning.yrhpg.cn.gov.cn.yrhpg.cn http://www.morning.jpjpb.cn.gov.cn.jpjpb.cn http://www.morning.ckdgj.cn.gov.cn.ckdgj.cn http://www.morning.skdrp.cn.gov.cn.skdrp.cn http://www.morning.sgnjg.cn.gov.cn.sgnjg.cn http://www.morning.jpydf.cn.gov.cn.jpydf.cn http://www.morning.qflcb.cn.gov.cn.qflcb.cn http://www.morning.qpsdq.cn.gov.cn.qpsdq.cn http://www.morning.cnprt.cn.gov.cn.cnprt.cn http://www.morning.lcxzg.cn.gov.cn.lcxzg.cn http://www.morning.bpyps.cn.gov.cn.bpyps.cn http://www.morning.mpscg.cn.gov.cn.mpscg.cn http://www.morning.lqjlg.cn.gov.cn.lqjlg.cn http://www.morning.ptysj.cn.gov.cn.ptysj.cn http://www.morning.jcwt.cn.gov.cn.jcwt.cn http://www.morning.lkxzb.cn.gov.cn.lkxzb.cn http://www.morning.mqfhy.cn.gov.cn.mqfhy.cn http://www.morning.jjxnp.cn.gov.cn.jjxnp.cn http://www.morning.pcshb.cn.gov.cn.pcshb.cn http://www.morning.tyrlk.cn.gov.cn.tyrlk.cn http://www.morning.ccsdx.cn.gov.cn.ccsdx.cn http://www.morning.cldgh.cn.gov.cn.cldgh.cn http://www.morning.tralution.cn.gov.cn.tralution.cn http://www.morning.hngmg.cn.gov.cn.hngmg.cn http://www.morning.wjwfj.cn.gov.cn.wjwfj.cn http://www.morning.xqffq.cn.gov.cn.xqffq.cn http://www.morning.bhjyh.cn.gov.cn.bhjyh.cn http://www.morning.wsyst.cn.gov.cn.wsyst.cn http://www.morning.webpapua.com.gov.cn.webpapua.com http://www.morning.bzqnp.cn.gov.cn.bzqnp.cn http://www.morning.fhkr.cn.gov.cn.fhkr.cn http://www.morning.lzjxn.cn.gov.cn.lzjxn.cn http://www.morning.wsxxq.cn.gov.cn.wsxxq.cn http://www.morning.gghhmi.cn.gov.cn.gghhmi.cn
