find ./ -type f -name '*source-string*'

netstat – Print network connections, routing tables, interface statistics, masquerade connections, and multicast memberships

 

netstat -a Display All Connections (default: connected)
-a, –all, –listening display all sockets
netstat -at List Only TCP connections (default: connected)
netstat -au List Only UDP Connections
netstat -ant Show IP Address without Reverse DNS lookup
-a, –all, –listening display all sockets (default: connected)
-n, –numeric don’t resolve names
[–tcp|-t]
netstat -anu Show IP Address without Reverse DNS lookup
-a, –all, –listening display all sockets (default: connected)
-n, –numeric don’t resolve names
[–udp|-u]
netstat -l List All Listening Conditions
-l, –listening display listening server sockets
List Only Listening TCP Ports / FQDN netstat -lt -l, –listening
[–tcp|-t]
List only listening UDP Ports / FQDN netstat -lu -l, –listening
[–udp|-u]
List only listening UDP Ports / IP netstat -lnt -l, –listening
-n, –numeric don’t resolve names
[–tcp|-t]
List only listening TCP Ports / IP netstat -lnu -l, –listening
-n, –numeric don’t resolve names
[–udp|-u]
List only listening UDP end TCP Ports / IP netstat -lntu -l, –listening
-n, –numeric don’t resolve names
[–tcp|-t]
[–udp|-u]
Check Open Ports (both ipv4 and ipv6) netstat -lntup -l, –listening
-n, –numeric don’t resolve names
[–tcp|-t]
[–udp|-u]
-p, –program
netstat -lntupe
netstat -tulpen
 -l, –listening
-n, –numeric don’t resolve names
[–tcp|-t]
[–udp|-u]
-p, –program
-e, –extend
netstat -s Display Summary Statistics netstat -st Display Statistics for TCP
netstat -su Display Statistics for UDP
netstat -F FQDN / Displays Domain Name. (This is the default.)
Print routing information from the FIB.
netstat -n IP / Display Only IP address
netstat -c Get Netstat Output Continuously. This will cause netstat to
print the selected information every second continuously.
netstat -ct [–tcp|-t]
-c, –continuous
The -c option can be combined with other
netstat options like -t (see below).
[–tcp|-t]
-c, –continuous
netstat -lntupec
netstat -tulpenc
 -l, –listening
-n, –numeric don’t resolve names
[–tcp|-t]
[–udp|-u]
-p, –program
-e, –extend
-c, –continuous
netstat -p Display Process Identifier (PID)Show the PID and name of
the program to which each socket belongs.
netstat -tp Show Service Name with PID Number
netstat -tcp  Displays TCP Connections Continuously. Above command
will output TCP connections along with PID continuously.
netstat -r Display the kernel routing tables. See the description in route(8)
for details. netstat -r and route -e produce the same output.
netstat -rn -r, –route
-n, –numeric
netstat -i Display a table of all network interfaces.
Display a table of all network interfaces.
netstat -ie -i,  –interfaces
-e, –extend
USGABE Aktive Internet-Verbindungen (TCP, UDP, RAW)
   
   Proto            Das von Socket verwendete Protokoll (TCP, UDP, RAW).
   
   Recv-Q           Die Anzahl von Bytes, die noch nicht von der Anwendung vom Socket abgeholt wurden.
   
   Send-Q           Die Anzahl von Bytes, die von der Gegenseite noch nicht bestätigt wurde.
   
   Lokale           Adresse Die lokale Adresse (lokaler  Rechnername) und Portnummer des Sockets. Außer bei Verwendung dern 
                    Option wird die Socketadresse nach dem kanonischen Rechnernamen und die Portnummer in den zugehörigen 
                    Dienstenamen aufgelßt.
   
   Foreign Address  Die Adresse und Portnummer der Gegenseite des Sockets. Wie bei lokalen Adressen schaltet dern Schalter 
                    die Umwandlung von Rechneradresse und Portnummer ab.
   
   State            Der Zustand des Sockets. Da RAW-Sockets keinen und UDP-Sockets üblicherweise keinen Zustand haben, kann diese Spalte 
                    leer bleiben. Normalerweise ist sie einer von mehreren Werten:

                       ESTABLISHED  The socket has an established connection.

                       SYN_SENT     Es wird versucht auf dem Socket eine Verbindung aufzubauen.

                       SYN_RECV     Eine Verbindungsanfrage wurde von der Gegenseite empfangen.

                       FIN_WAIT1    Der Socket wurde geschloßen und die Verbindung wird beendet.

                       FIN_WAIT2    Die Verbindung ist geschlßen und der Socket wartet darauf, daß sie von der Gegenseite ebenfalls geschloßen wird.

                       TIME_WAIT    Der Socket ist nach dem Schließen im Wartezustand um Pakete handzuhaben, die sich eventuell noch im Netzwerk befinden.

                       CLOSE        Der Socket wird nicht benutzt.

                       CLOSE_WAIT   Die Gegenseite hat die Verbindung beendet und das Schließen des Sockets wird erwartet.

                       LAST_ACK     Die Gegenseite hat die Verbindung beendet und der Socket ist geschloßen; die Bestätigung wird abgewartet.

                       LISTEN       Der Socket wartet auf eingehende Verbindungen. Diese Sockets werden nur angezeit, wenn die The socket is listening 
                                    for incoming connections. Those sockets are only displayed if the -a,--listening Option gegeben wird.

                       CLOSING      Beide Sockets sind geschloßen es wurden aber noch nicht alle Daten geschickt.

                       UNKNOWN      Der Zustand des Sockets ist unbekannt.

   User               Der Name oder die Benutzer-ID des Eigentümers des Sockets.
   
   PID/Program name   Durch  einen Schrägstrich abgetrenntes Paar von Prozess-ID und Programmname des Programms, das diesen Socket besitzt. Die Option -p 
                      schaltet die Anzeige dieser Spalte ein. Es werden root Privilegien benötigt um die nötigen Daten zu erhalten. Für IPX Sockets 
                      sind diese Daten nicht verfügbar.
   
   Timer              (Dies muß noch geschrieben werden)
   
   Aktive Sockets in der UNIX Domäne
   
   Proto              Das Protokoll (in der Regel unix), das vom Socket verwendet wird.
   
   RefCnt             Der Referenzzähler, d.h. die Zahl der Prozesse, die diesen Socket benutzen.
   
   Flags              Die Flaggen, die angezeigt werden sind SO_ACCEPTON (angezeigt als ACC), SO_WAITDATA (W) oder SO_NOSPACE (N). SO_ACCECPTON wird auf 
                      unverbundenen Sockets verwendet, wenn die zugehörigen  Sockets  auf  Verbindungsanfragen warten. Die anderen Flaggen sind 
                      normalerweise nicht von Interesse.

   Type               Es gibt verschiedene Arten von Socketzugriff:

                        SOCK_DGRAM      Der Socket wird im verbindungslosen Datagram-Modus verwendet.

                        SOCK_STREAM     Dies ist ein verbindungsorientierter Stream-Socket.

                        SOCK_RAW        Der Socket wird als RAW-Socket verwendet.

                        SOCK_RDM        Dieser Socket bedient zuverlßig zugestellte Nachrichten.

                        SOCK_SEQPACKET  Dies ist ein Socket, der die Zustellung in der richtigen Reihenfolge garantiert.

                        SOCK_PACKET     Socket mit direktem (RAW) Zugriff auf die Schnittstelle.

                        UNKNOWN         Wer weiß, was uns die Zukunft bringt soll es hier hinschreiben :-)
   
   State/Zustand      Dieses Feld enthält eines der folgenden Schlüsselworte:

                        FREE            Der Socket ist unbenutzt

                        LISTENING       Der Socket lauscht nach Verbindungsanfragen. Diese Sockets werden nur angezeigt, wenn die -a,--listening 
                                        Option gesetzt ist.

                        CONNECTING      Auf dem Socket wird gerade eine Verbindung aufgebaut.

                        CONNECTED       Auf dem Socket ist Verbindung aufgebaut.

                        DISCONNECTING   Die Verbindung des Sockets wird gerade abgebaut.

                        (empty)         Der Socket hat keine Verbundung zu einem anderen Socket.

                        UNKNOWN         Ein Socket sollte niemals in diesem Zustand sein.
# ---------------------------------------------------------
# ---    : Show Active/Established Connections
#
netstat -atnp | grep ESTA 
#
#    tcp        0      0 10.3.14.7:58410         172.217.22.14:443       ESTABLISHED 10133/chrome    
#    tcp        0      0 10.3.14.7:36804         216.58.211.206:443      ESTABLISHED 10133/chrome    
#    tcp        0      0 10.3.14.7:55412         104.27.159.202:80       ESTABLISHED 2574/firefox    
#    tcp        0      0 10.3.14.7:57938         52.38.159.157:443       ESTABLISHED 2574/firefox    
#    tcp        0      0 10.3.14.7:33804         52.42.108.131:443       ESTABLISHED 2574/firefox    
#    tcp        0      0 10.3.14.7:44530         31.13.93.3:443          ESTABLISHED 2574/firefox    
#    tcp        0      0 10.3.14.7:49168         172.217.22.13:443       ESTABLISHED 2574/firefox    
#    tcp        0      0 10.3.14.7:38396         172.217.22.5:443        ESTABLISHED 2574/firefox    
#
# ---------------------------------------------------------
# ---    : Get Continuous List of Active Connections
watch -d -n0 "netstat -atnp | grep ESTA"
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    : Check if a Service is Running
#
netstat -aple | grep dnsmasq 
#    tcp        0      0 nautilus-t410:domain    *:*                     LISTEN      root       27011       2429/dnsmasq    
#    udp        0      0 *:48234                 *:*                                 nobody     27114       2429/dnsmasq    
#    udp        0      0 nautilus-t410:domain    *:*                                 root       27010       2429/dnsmasq    
#    unix  2      [ ]         DGRAM                    27018    2429/dnsmasq        
#    unix  3      [ ]         STREAM     CONNECTED     27012    2429/dnsmasq  
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    : Display IPs with High Number of Connections. These commands are useful in identifying malicious visitors.
#          Some of them are useful in bringing small-scale DOS attacks under control.
netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
#    1 104.27.159.202
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    :
#
netstat -tn 2>/dev/null | grep ':80 ' | awk '{print $5}' |sed -e 's/::ffff://' | cut -f1 -d: | sort | uniq -c | sort -rn | head
#    1 104.27.159.202
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    : Display Number of Active Connections on Port 80
#
netstat -an |grep :80 |wc -l
#    4
netstat -an |grep :80 
#    tcp        0      0 10.3.14.7:32838         216.58.208.42:80        TIME_WAIT  
#    tcp        0      0 10.3.14.7:55452         104.27.159.202:80       ESTABLISHED
#    tcp        0      0 10.3.14.7:57288         216.58.212.234:80       TIME_WAIT  
#    tcp        0      0 10.3.14.7:57284         216.58.212.234:80       TIME_WAIT  
#
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    : Displays Foreign IP Addresses Only
#
netstat -antu | grep :80 | grep -v LISTEN | awk '{print $5}'
#    104.27.159.202:80
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    : Display Active SYNC_REC
# The below command will output how many active SYNC_REC are occurring and happening 
# on the server. The number should be low (less than 5). If the number is in double 
# digits, you may be suffering a DoS attack or being mail bombed.
netstat -n -p|grep SYN_REC | wc -l
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    : List Unique IP Addresses Sending SYN_REC Connection
# Like the above command, this command too lists all unique IP addresses of the node that are sending SYN_REC connection status
netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    : Connections Per Remote IP
#
netstat -antu | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -n
# or
netstat -antu | awk '$5 ~ /[0-9]:/{split($5, a, ":"); ips[a[1]]++} END {for (ip in ips) print ips[ip], ip | "sort -k1 -nr"}'
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    :Number of Open Connections per IP
netstat -an | grep 80 | wc -l
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    : Active Internet Connections
#
netstat -pnut -w | column -t -s $'\t'
# ---------------------------------------------------------
# ---------------------------------------------------------
# ---    :-s, --statistics         display networking statistics (like SNMP)
#
netstat -s
#   Ip:
#       145490 total packets received
#       1 with invalid addresses
#       0 forwarded
#       0 incoming packets discarded
#       144857 incoming packets delivered
#       105602 requests sent out
#       188 outgoing packets dropped
#       4 dropped because of missing route
#   Icmp:
#       428 ICMP messages received
#       0 input ICMP message failed.
#       ICMP input histogram:
#           destination unreachable: 428
#       444 ICMP messages sent
#       0 ICMP messages failed
#       ICMP output histogram:
#           destination unreachable: 444
#   IcmpMsg:
#           InType3: 428
#           OutType3: 444
#   Tcp:
#       1523 active connections openings
#       0 passive connection openings
#       0 failed connection attempts
#       40 connection resets received
#       4 connections established
#       139918 segments received
#       100264 segments send out
#       20 segments retransmited
#       7 bad segments received.
#       420 resets sent
#   Udp:
#       4299 packets received
#       428 packets to unknown port received.
#       0 packet receive errors
#       4868 packets sent
#   UdpLite:
#   TcpExt:
#       8 packets pruned from receive queue because of socket buffer overrun
#       554 TCP sockets finished time wait in fast timer
#       1539 delayed acks sent
#       1 delayed acks further delayed because of locked socket
#       Quick ack mode was activated 197 times
#       8 packets directly queued to recvmsg prequeue.
#       4902 bytes directly received in process context from prequeue
#       95779 packet headers predicted
#       7 packets header predicted and directly queued to user
#       14072 acknowledgments not containing data payload received
#       5339 predicted acknowledgments
#       1 congestion windows recovered without slow start after partial ack
#       1 other TCP timeouts
#       TCPLossProbes: 20
#       TCPLossProbeRecovery: 1
#       72 packets collapsed in receive queue due to low socket buffer
#       158 DSACKs sent for old packets
#       12 DSACKs received
#       116 connections reset due to unexpected data
#       31 connections reset due to early user close
#       TCPDSACKIgnoredNoUndo: 8
#       TCPRcvCoalesce: 70824
#       TCPOFOQueue: 226
#       TCPChallengeACK: 7
#       TCPSYNChallenge: 7
#       TCPSpuriousRtxHostQueues: 4
#       TCPAutoCorking: 3263
#       TCPWantZeroWindowAdv: 1
#       TCPSynRetrans: 1
#       TCPOrigDataSent: 19471
#       TCPHystartTrainDetect: 3
#       TCPHystartTrainCwnd: 74
#       TCPHystartDelayDetect: 1
#       TCPHystartDelayCwnd: 19
#       TCPKeepAlive: 7458
#   IpExt:
#       InMcastPkts: 324
#       OutMcastPkts: 713
#       InBcastPkts: 66
#       OutBcastPkts: 2
#       InOctets: 151150204
#       OutOctets: 14177464
#       InMcastOctets: 32836
#       OutMcastOctets: 132480
#       InBcastOctets: 19724
#       OutBcastOctets: 1948
#       InNoECTPkts: 145490


# ---------------------------------------------------------

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.