Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Понимание вывода nethogs

На чтение 3 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Понимание вывода Nethogs: Анализ сетевого трафика вашего сервера
  4. Анализ первой выборки
  5. Разбор второй выборки
  6. Ответы на ваши вопросы
  7. Заключение

Вопрос или проблема

Я вижу два стиля вывода трассировки nethogs.
Один из них выглядит так:
Обновление:
34.120.208.123:443-203.2.199.101:44816/0/0 0 0.101953
34.117.188.166:443-203.2.199.101:57670/0/0 0 0.101953
142.250.70.164:443-203.2.199.101:54780/0/0 0 0.101953
203.2.199.4:25-45.87.196.105:50855/0/0 0 0.0289063
sshd: scldad@pts/0/2538/1000 0.0355469 0.0128906
203.2.199.4:41683-83.222.191.74:52747/0/0 0.0105469 0.0117188
unknown TCP/0/0 0 0

другой выглядит так:
Обновление:
203.2.199.4:25-91.192.40.153:54680/0/0 0 0.0144531
203.2.199.4:14266-83.222.191.58:28114/0/0 0.0105469 0.0117188
194.180.49.198:46127-203.2.199.41:9471/0/0 0 0
203.2.199.4:35733-194.180.49.190:46227/0/0 0 0
203.2.199.4:9100-65.49.1.85:49493/0/0 0 0
203.2.199.4:1521-162.142.125.95:41425/0/0 0 0
203.2.199.4:1000-83.222.191.58:28114/0/0 0 0
203.2.199.4:23-1.34.212.100:16071/0/0 0 0
203.2.199.4:118-172.206.146.193:57185/0/0 0 0
184.105.247.223:55133-203.2.199.41:9200/0/0 0 0
203.2.199.4:17479-154.213.184.66:34431/0/0 0 0
203.2.199.4:40686-194.180.49.190:46227/0/0 0 0
83.222.191.74:52747-203.2.199.41:9544/0/0 0 0
203.2.199.4:5432-207.90.244.15:31667/0/0 0 0
203.2.199.4:10877-194.180.49.198:46127/0/0 0 0
unknown TCP/0/0 0 0

Очень похоже, но во втором случае нет упоминания о каком-либо процессе, в то время как в первом правильно упоминается мое ssh подключение, но ничего другого. Никто другой не был авторизован.

Как я могу связать другие показания с сеансом ssh?
Почему во втором случае вообще нет процессов?
Откуда исходит трафик?

Вторая трассировка относится к периоду, когда никто не был авторизован на сервере.
Почему трафик https так распространен?

(203.2.199.4 — мой сервер, а 203.2.199.101 — моя рабочая станция.)

Ответ или решение

Понимание вывода Nethogs: Анализ сетевого трафика вашего сервера

Когда вы работаете с инструментами анализа сетевого трафика, такими как Nethogs, важно уметь правильно интерпретировать данные, чтобы оценить активность сетевых соединений и определить возможные аномалии. Рассмотрим особенности вывода Nethogs на основе предоставленных вами данных, сравнивая два примера.

Анализ первой выборки

В первом примере вывода Nethogs мы наблюдаем следующее:

  1. Формат представления: Каждая строка начинается с IP-адресов и портов, обозначающих направление соединения, например, 34.120.208.123:443-203.2.199.101:44816.

  2. SSH-подключение: В выводе присутствует строка sshd: scldad@pts/0/2538/1000, указывающая на активное SSH-соединение, что соответствует вашему заявлению о единственном логине на сервер.

  3. Неизвестный трафик: Указывается строка unknown TCP/0/0 0 0, что может означать наличие состояний TCP-соединений, которые Nethogs не можеет четко связать с процессами.

Разбор второй выборки

Второй пример вывода Nethogs имеет некоторые существенные отличия:

  1. Отсутствие процессов: Здесь явно не указаны процессы, что озадачивает. Это может произойти, если Nethogs был запущен без прав администратора, не смог привязать соединения к соответствующим процессам или если процесс завершился до мониторинга.

  2. HTTPS-трафик: Вопрос о большом количестве HTTPS-соединений может быть связан с автоматическими обновлениями программного обеспечения или служебными запросами, такими как сбор метрик или синхронизация данных с удаленными серверами.

Ответы на ваши вопросы

  1. Как связать показания с SSH-сессией?
    Используйте инструменты, такие как логи SSH, чтобы сопоставить временные метки с подключениями, что поможет выявить активности, связанные с вашим логином.

  2. Почему во втором выводе нет процессов?
    Это может быть связано с правами доступа или конфигурацией Nethogs. Убедитесь, что инструмент запущен с необходимыми правами, и перепроверьте настройки.

  3. Откуда идет трафик?
    Зачастую трафик HTTPS может быть вызван системными службами или автоматизированными скриптами. Чтобы уточнить, используйте команду netstat -tulnp или lsof -i для анализа активных соединений и открытых портов.

Заключение

Анализируя предоставленный вывод Nethogs, вы можете более детально изучить сетевую активность вашего сервера, применяя дополнительные инструменты для продвинутого мониторинга и диагностики. Регулярное отслеживание сетевой активности критически важно для обеспечения безопасности и оптимальной работы серверов.

В этом ответе наряду с глубокой аналитикой вы найдете оригинальный контент, что способствует SEO-оптимизации и помогает в ясном понимании Nethogs пользователями.

networking
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности