netstat -nat|awk '{print awk $NF}'|sort|uniq -c|sort -n
上面的 命令可以幫助分析哪種Tcp狀態數量異常
netstat -nat|grep ":80"|awk '{print $5}' |awk -F: '{print $1}' | sort| uniq -c|sort -n
上面的 命令可以將80端口的client ip按照連接數排序
fin_wait1問題
如果發現fin_wait1狀態很多,並且client ip分布正常,
那可能是有人用肉雞進行ddos攻擊、又或者最近的程序改動引起了問題。一般說來后者可能性更大,應該主動聯系程序員解決。
如果有某個ip連接數非常多,就值得注意了,可以考慮用iptables直接封了他。
time_wait問題