Red Hat Training
A Red Hat training course is available for RHEL 8
49.3. Visualización de las conexiones TCP añadidas a la cola de aceptación del Kernel
Después de que el núcleo reciba el paquete ACK
en un handshake TCP de 3 vías, el núcleo mueve la conexión de la cola SYN
a la cola accept
después de que el estado de la conexión cambie a ESTABLISHED
. Por lo tanto, sólo las conexiones TCP exitosas son visibles en esta cola.
La utilidad tcpaccept
utiliza las características de eBPF para mostrar todas las conexiones que el kernel añade a la cola de accept
. La utilidad es ligera porque rastrea la función accept()
del kernel en lugar de capturar paquetes y filtrarlos. Por ejemplo, utilice tcpaccept
para la resolución de problemas generales para mostrar las nuevas conexiones que el servidor ha aceptado.
Procedimiento
Introduzca el siguiente comando para iniciar el seguimiento de la cola del kernel
accept
:# /usr/share/bcc/tools/tcpaccept PID COMM IP RADDR RPORT LADDR LPORT 843 sshd 4 192.0.2.17 50598 192.0.2.1 22 1107 ns-slapd 4 198.51.100.6 38772 192.0.2.1 389 1107 ns-slapd 4 203.0.113.85 38774 192.0.2.1 389 ...
Cada vez que el núcleo acepta una conexión,
tcpaccept
muestra los detalles de las conexiones.- Pulse Ctrl C para detener el proceso de rastreo.
Recursos adicionales
-
Para más detalles, consulte la página de manual
tcpaccept(8)
. -
Para más detalles sobre
tcpaccept
y ejemplos, consulte el archivo/usr/share/bcc/tools/doc/tcpaccept_example.txt
. -
Para mostrar la secuencia de comandos eBPF
tcpaccept8)
carga al núcleo, utilice el comando/usr/share/bcc/tools/tcpaccept --ebpf
.