https://www.rutron.net/posts/2203/bcc-tcplife-usage/

这篇文档主要演示了 tcplife(Linux eBPF/bcc) 工具的使用.

示例

tcplife 总结了在跟踪期间打开和关闭的 TCP 会话. 比如:

# ./tcplife

PID   COMM       LADDR           LPORT RADDR           RPORT TX_KB RX_KB MS

22597 recordProg 127.0.0.1       46644 127.0.0.1       28527     0     0 0.23

3277  redis-serv 127.0.0.1       28527 127.0.0.1       46644     0     0 0.28

22598 curl       100.66.3.172    61620 52.205.89.26    80        0     1 91.79

22604 curl       100.66.3.172    44400 52.204.43.121   80        0     1 121.38

22624 recordProg 127.0.0.1       46648 127.0.0.1       28527     0     0 0.22

3277  redis-serv 127.0.0.1       28527 127.0.0.1       46648     0     0 0.27

22647 recordProg 127.0.0.1       46650 127.0.0.1       28527     0     0 0.21

3277  redis-serv 127.0.0.1       28527 127.0.0.1       46650     0     0 0.26

[...]

这捕获了一个程序 “recordProg”, 它建立了一些到 “redis-serv” 的短暂的 TCP 连接, 每个连接持续大约 0.25 毫秒. 还有几个 “curl” 会话也被跟踪, 连接到端口 80, 持续了 91 和 121 毫秒.

此工具对于工作负载表征和流量统计很有用: 识别正在发生的连接以及传输的字节.

在这个例子中, 我上传了一个 10 Mbyte 的文件到服务器, 然后再次使用 scp 下载:

# ./tcplife

PID   COMM       LADDR           LPORT RADDR           RPORT TX_KB RX_KB MS

7715  recordProg 127.0.0.1       50894 127.0.0.1       28527     0     0 0.25

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50894     0     0 0.30

7619  sshd       100.66.3.172    22    100.127.64.230  63033     5 10255 3066.79

7770  recordProg 127.0.0.1       50896 127.0.0.1       28527     0     0 0.20

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50896     0     0 0.24

7793  recordProg 127.0.0.1       50898 127.0.0.1       28527     0     0 0.23

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50898     0     0 0.27

7847  recordProg 127.0.0.1       50900 127.0.0.1       28527     0     0 0.24

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50900     0     0 0.29

7870  recordProg 127.0.0.1       50902 127.0.0.1       28527     0     0 0.29

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50902     0     0 0.30

7798  sshd       100.66.3.172    22    100.127.64.230  64925 10265     6 2176.15

[...]

可以看到 sshd 接收了 10 MB, 然后再传输出去. 看起来, 接收(3.07 秒)比传输(2.18 秒)慢.

宽显

进程名称被截断为 10 个字符. 通过使用宽选项 -w, 列宽变为 16 个字符. IP 地址栏也更宽, 以适合 IPv6 地址:

# ./tcplife -w

PID   COMM             IP LADDR                      LPORT RADDR                      RPORT  TX_KB  RX_KB MS

26315 recordProgramSt  4  127.0.0.1                  44188 127.0.0.1                  28527      0      0 0.21

3277  redis-server     4  127.0.0.1                  28527 127.0.0.1                  44188      0      0 0.26

26320 ssh              6  fe80::8a3:9dff:fed5:6b19   22440 fe80::8a3:9dff:fed5:6b19   22         1      1 457.52

26321 sshd             6  fe80::8a3:9dff:fed5:6b19   22    fe80::8a3:9dff:fed5:6b19   22440      1      1 458.69

26341 recordProgramSt  4  127.0.0.1                  44192 127.0.0.1                  28527      0      0 0.27

3277  redis-server     4  127.0.0.1                  28527 127.0.0.1                  44192      0      0 0.32

添加时间戳

可以使用 -t 添加时间戳:

# ./tcplife -t

TIME(s)   PID   COMM       LADDR           LPORT RADDR           RPORT TX_KB RX_KB MS

0.000000  5973  recordProg 127.0.0.1       47986 127.0.0.1       28527     0     0 0.25

0.000059  3277  redis-serv 127.0.0.1       28527 127.0.0.1       47986     0     0 0.29

1.022454  5996  recordProg 127.0.0.1       47988 127.0.0.1       28527     0     0 0.23

1.022513  3277  redis-serv 127.0.0.1       28527 127.0.0.1       47988     0     0 0.27

2.044868  6019  recordProg 127.0.0.1       47990 127.0.0.1       28527     0     0 0.24

2.044924  3277  redis-serv 127.0.0.1       28527 127.0.0.1       47990     0     0 0.28

3.069136  6042  recordProg 127.0.0.1       47992 127.0.0.1       28527     0     0 0.22

3.069204  3277  redis-serv 127.0.0.1       28527 127.0.0.1       47992     0     0 0.28

这表明 recordProg 进程每秒连接一次.

另外 -T 选项可以使用 HH:MM:SS 格式时间戳.

逗号分隔列表

-s 选项可以指定逗号分隔的列表模式. 这里同时使用了 -t 和 -T 类型的时间戳:

# ./tcplife -stT

TIME,TIME(s),PID,COMM,IP,LADDR,LPORT,RADDR,RPORT,TX_KB,RX_KB,MS

23:39:38,0.000000,7335,recordProgramSt,4,127.0.0.1,48098,127.0.0.1,28527,0,0,0.26

23:39:38,0.000064,3277,redis-server,4,127.0.0.1,28527,127.0.0.1,48098,0,0,0.32

23:39:39,1.025078,7358,recordProgramSt,4,127.0.0.1,48100,127.0.0.1,28527,0,0,0.25

23:39:39,1.025141,3277,redis-server,4,127.0.0.1,28527,127.0.0.1,48100,0,0,0.30

23:39:41,2.040949,7381,recordProgramSt,4,127.0.0.1,48102,127.0.0.1,28527,0,0,0.24

23:39:41,2.041011,3277,redis-server,4,127.0.0.1,28527,127.0.0.1,48102,0,0,0.29

23:39:42,3.067848,7404,recordProgramSt,4,127.0.0.1,48104,127.0.0.1,28527,0,0,0.30

23:39:42,3.067914,3277,redis-server,4,127.0.0.1,28527,127.0.0.1,48104,0,0,0.35

[...]

端口过滤

还有过滤本地/远端端口的选项. 这里就过滤了本地 22 和 80 端口.

# ./tcplife.py -L 22,80

PID   COMM       LADDR           LPORT RADDR           RPORT TX_KB RX_KB MS

8301  sshd       100.66.3.172    22    100.127.64.230  58671     3     3 1448.52

[...]

USAGE 说明

# ./tcplife.py -h

usage: tcplife.py [-h] [-T] [-t] [-w] [-s] [-p PID] [-L LOCALPORT]

                  [-D REMOTEPORT] [-4 | -6]

跟踪 TCP 会话的生命周期并进行总结

optional arguments:

  -h, --help            show this help message and exit

  -T, --time            include time column on output (HH:MM:SS)

  -t, --timestamp       include timestamp on output (seconds)

  -w, --wide            wide column output (fits IPv6 addresses)

  -s, --csv             comma separated values output

  -p PID, --pid PID     trace this PID only

  -L LOCALPORT, --localport LOCALPORT

                        comma-separated list of local ports to trace.

  -D REMOTEPORT, --remoteport REMOTEPORT

                        comma-separated list of remote ports to trace.

  -4, --ipv4            trace IPv4 family only

  -6, --ipv6            trace IPv6 family only

examples:

    ./tcplife           # trace all TCP connect()s

    ./tcplife -t        # include time column (HH:MM:SS)

    ./tcplife -w        # wider columns (fit IPv6)

    ./tcplife -stT      # csv output, with times & timestamps

    ./tcplife -p 181    # only trace PID 181

    ./tcplife -L 80     # only trace local port 80

    ./tcplife -L 80,81  # only trace local ports 80 and 81

    ./tcplife -D 80     # only trace remote port 80

    ./tcplife -4        # only trace IPv4 family

    ./tcplife -6        # only trace IPv6 family

[转帖]tcplife的使用的更多相关文章

  1. nginx负载均衡基于ip_hash的session粘帖

    nginx负载均衡基于ip_hash的session粘帖 nginx可以根据客户端IP进行负载均衡,在upstream里设置ip_hash,就可以针对同一个C类地址段中的客户端选择同一个后端服务器,除 ...

  2. [转帖]网络协议封封封之Panabit配置文档

    原帖地址:http://myhat.blog.51cto.com/391263/322378

  3. [转帖]零投入用panabit享受万元流控设备——搭建篇

    原帖地址:http://net.it168.com/a2009/0505/274/000000274918.shtml 你想合理高效的管理内网流量吗?你想针对各个非法网络应用与服务进行合理限制吗?你是 ...

  4. 3d数学总结帖

    3d数学总结帖,以下是对3d学习过程中数学知识的简单总结 角度值和弧度制的互转 Deg2Rad 角度A1转弧度A2 => A2=A1*PI/180 Rad2Deg 弧度A2转换角度A1 => ...

  5. [转帖]The Lambda Calculus for Absolute Dummies (like myself)

    Monday, May 7, 2012 The Lambda Calculus for Absolute Dummies (like myself)   If there is one highly ...

  6. [转帖]FPGA开发工具汇总

    原帖:http://blog.chinaaet.com/yocan/p/5100017074 ----------------------------------------------------- ...

  7. [Android分享] 【转帖】Android ListView的A-Z字母排序和过滤搜索功能

      感谢eoe社区的分享   最近看关于Android实现ListView的功能问题,一直都是小伙伴们关心探讨的Android开发问题之一,今天看到有关ListView实现A-Z字母排序和过滤搜索功能 ...

  8. AxureRP7.0各类交互效果汇总帖(转)

    了便于大家参考,我把这段时间发布分享的所有关于AxureRP7.0的原型做了整理. 以下资源均有对应的RP源文件可以下载. 当然 ,其中有部分是需要通过完成解密游戏[攻略]才能得到下载地址或者下载密码 ...

  9. 未能加载文件或程序集“Newtonsoft.Json, Version=4.0.0.0, Culture=neutral, PublicKeyToken=30a [问题点数:40分,结帖人u010259408]

    未能加载文件或程序集“Newtonsoft.Json, Version=4.0.0.0, Culture=neutral, PublicKeyToken=30a [问题点数:40分,结帖人u01025 ...

  10. 转帖-[教程] Win7精简教程(简易中度)2016年8月-0day

    [教程] Win7精简教程(简易中度)2016年8月 0day 发表于 2016-8-19 16:08:41  https://www.itsk.com/thread-370260-1-1.html ...

随机推荐

  1. 【玩转腾讯混元大模型】怎么说?我用混元AI大模型开发了个IDEA插件

    前言 halo 我是杨不易呀,在混元大模型内测阶段就已经体验了一番当时打开页面的时候灵感模块让我大吃一惊这么多角色模型真的太屌了,随后我立马进行了代码处理水平和上下文的效果结果一般般但是到如今混元大模 ...

  2. windows server 2019 IIS网站属性上没有asp.net标签 ,aspnet_regiis -i 不能安装用命令解决

    用如下命令安装: dism /online /enable-feature /featurename:IIS-ASPNET45 /all

  3. Angular 集成 Material UI 后组件显示不正常 踩坑日记

    在使用了 npm 下载 Material 后, 项目不能正常使用 Material 组件, 随后又使用官方命令使用 Material 组件, 仍然不能正常使用 Material 组件. npm 命令 ...

  4. 文心一言 VS 讯飞星火 VS chatgpt (53)-- 算法导论6.2 5题

    五.MAX-HEAPIFY的代码效率较高,但第 10 行中的递归调用可能例外,它可能使某些编译器产生低效的代码.请用循环控制结构取代递归,重写 MAX-HEAPIFY代码. 文心一言: 以下是使用循环 ...

  5. Java 查找并替换PDF中的指定文本

    本文介绍通过Java程序批量替换PDF中的指定文本内容. 1. 程序环境准备如下: 程序使用环境如图,需要注意的是,本文使用了免费版的PDF jar工具:另外JDK版本建议使用高版本更佳.   jar ...

  6. IoT与鸿蒙、低代码、生成式AI,引爆技术浪潮——华为云开发者日南京站成功举办

    本文分享自华为云社区<IoT与鸿蒙.低代码.生成式AI,引爆技术浪潮--华为云开发者日南京站成功举办>,作者:华为云社区精选 . 近日,华为云开发者日HDC.Cloud Day南京站成功举 ...

  7. 技术实践丨GaussDB(DWS)运维管理功能“升级”的原理和使用

    摘要:本文将详细介绍GaussDB(DWS)重要运维管理功能"升级"的原理和使用. 运维管理模块是任何软件产品最基础和重要的一部分.是软件产品的门户,也是用户接触和使用软件产品的和 ...

  8. 手把手教您在PyCharm中连接云端资源进行代码调试

    摘要:ModelArts提供了一个PyCharm插件工具PyCharm ToolKit,协助用户完成代码上传.提交训练作业.将训练日志获取到本地展示等,用户只需要专注于本地的代码开发即可. 本文分享自 ...

  9. 养殖场新来了个“AI管家”

    摘要:定制化算法+端侧一键部署,打通AI全流程. 本文分享自华为云社区<[云享·伙伴]第4期:养殖场新来了个"AI管家">,作者: 华为云社区精选. 民以食为天.肉类是 ...

  10. Solon 路由的 Url 大小写匹配与事项注意

    Solon 路由器对 url 的匹配默认是 "忽略大小写" 的.如果有需要,可以强制开启:v2.2.14 后支持 @SolonMain public class App{ publ ...