netstat -nat|awk '{print awk $NF}'|sort|uniq -c|sort -n
上面的 命令可以帮助分析哪种Tcp状态数量异常
netstat -nat|grep ":80"|awk '{print $5}' |awk -F: '{print $1}' | sort| uniq -c|sort -n
上面的 命令可以将80端口的client ip按照连接数排序
fin_wait1问题
如果发现fin_wait1状态很多,并且client ip分布正常,
那可能是有人用肉鸡进行ddos攻击、又或者最近的程序改动引起了问题。一般说来后者可能性更大,应该主动联系程序员解决。
如果有某个ip连接数非常多,就值得注意了,可以考虑用iptables直接封了他。
time_wait问题