Red Hat Training

A Red Hat training course is available for RHEL 8

49.3. Visualización de las conexiones TCP añadidas a la cola de aceptación del Kernel

Después de que el núcleo reciba el paquete ACK en un handshake TCP de 3 vías, el núcleo mueve la conexión de la cola SYN a la cola accept después de que el estado de la conexión cambie a ESTABLISHED. Por lo tanto, sólo las conexiones TCP exitosas son visibles en esta cola.

La utilidad tcpaccept utiliza las características de eBPF para mostrar todas las conexiones que el kernel añade a la cola de accept. La utilidad es ligera porque rastrea la función accept() del kernel en lugar de capturar paquetes y filtrarlos. Por ejemplo, utilice tcpaccept para la resolución de problemas generales para mostrar las nuevas conexiones que el servidor ha aceptado.

Procedimiento

  1. Introduzca el siguiente comando para iniciar el seguimiento de la cola del kernel accept:

    # /usr/share/bcc/tools/tcpaccept
    PID   COMM      IP RADDR         RPORT  LADDR    LPORT
    843   sshd      4  192.0.2.17    50598  192.0.2.1  22
    1107  ns-slapd  4  198.51.100.6  38772  192.0.2.1  389
    1107  ns-slapd  4  203.0.113.85  38774  192.0.2.1  389
    ...

    Cada vez que el núcleo acepta una conexión, tcpaccept muestra los detalles de las conexiones.

  2. Pulse Ctrl C para detener el proceso de rastreo.

Recursos adicionales

  • Para más detalles, consulte la página de manual tcpaccept(8).
  • Para más detalles sobre tcpaccept y ejemplos, consulte el archivo /usr/share/bcc/tools/doc/tcpaccept_example.txt.
  • Para mostrar la secuencia de comandos eBPF tcpaccept8) carga al núcleo, utilice el comando /usr/share/bcc/tools/tcpaccept --ebpf.