查看异常流量:
iftop:动态显示网络接口流量信息:
iftop工具是一款实时流量监控工具,可用于监控TCP/IP连接等,必须以root用户的身份运行。
安装方法:
yum install -y epel-release
yum install -y iftop
# 使用方法;
iftop -i ens33
# iftop -nNBP
iftop命令的使用:
中间两个左右箭头,表示的是流量的方向。
TX:发送流量
RX:接收流量
TOTAL:总流量
Cum:运行iftop到目前时间的总流量,对流量进行汇总
peak:流量峰值
rates:分别表示过去2s、10s、40s的平均流量
流量监控:
Cacti、Zabbix 、Canglia、open-falcon、Prometheus + grafana等
数据包抓取:
Wireshark tcpdump sniffer(路由器交换机的流量,是整个网络的流量。)
tcpdump是一个截获网络数据包的包分析工具。
安装:
yum provides *bin/tcpdump
yum install -y tcpdump
man tcpdump
-n: 不进行DNS解析,加快显示进度。
-nn: 不将协议和端口数字等转换成名字。
-v:
-vv:
-vvv:显示命令执行的详细信息。
-t:
-ttttt: 显示当前行与前一行的延迟。
-q: 精简输出信息,例如:tcpdump -q
条件:
host: 监听指定主机: 例如:tcpdump -n host 10.0.0.1
src: 关键字源地址,例如:tcpdump -n src host 10.0.0.1
dst:关键字目的地址:例如:tcpdump -n dst host 10.0.0.1
port: 关键字指定端口: 例如:tcpdump -nn port 22
net: 指定网段:例如:tcpdump -i eth0 -nnv net 192.168.0.0/24
not: 非 例如:tcpdump -i eth0 -nnv not port 80
协议作为条件:
arp
icmp
udp:udp协议
tcp:tcp协议,三次握手,四次断开
ip
vrrp: keepalive的使用协议
多条件:与关系、或关系、非关系
and
or
not
条件为TCP仅为SYN标记的:
tcpdump -i eth0 -nnv
tcpdump -i eth0 -nnv -c 100
tcpdump -i etho -nnv -w /file1.tcpdump
tcpdump -nnv -r /file1.tcpdump
检查可疑进程:
基本工具:
ps:
ps aux | grep less
pstree:查看进程树,以树型结构显示进程与进程之间的关系。
pstree mysql
pstree -c -p mysql
pstree -u # 显示进程所属的用户
pstree -a:显示启动每个进程对应的完整指令,包含启动进程的路径、参数等。
pstree -p: 显示进程号
pstree -h: 对现在执行的程序进行特别标注
top:
进程名不认识的时候,百度确认下,可能是一个木马病毒。
top -d -1
netstat:
netstat -anput:
可能有可疑的进程。
ss:查看某个协议或端口的监听状态
ss -an |grep tcp
ss -an |grep 22
ss -an |grep ":22" 如果别人连接22端口,要警惕下,分析tos的状态,看看密码是否正确登录。
根据文件或者端口查看进程:
根据某文件查看正在被某些进程使用:
lsof /usr/sbin/vsftpd
fuser /usr/local/nginx/sbin/nginx
根据某个端口查看对应的进程:
lsof -i TCP:22
fuser -v 22/tcp