Red Hat Training

A Red Hat training course is available for RHEL 8

45.6. TCP 세션 추적

tcplife 유틸리티는 eBPF를 사용하여 열고 닫는 TCP 세션을 추적하고 출력 행을 출력하여 각 세션을 요약합니다. 관리자는 tcplife 를 사용하여 전송된 트래픽 양을 식별할 수 있습니다.

예를 들어 포트 22 (SSH)에 대한 연결을 표시하여 다음 정보를 검색할 수 있습니다.

  • 로컬 프로세스 ID(PID)
  • 로컬 프로세스 이름
  • 로컬 IP 주소 및 포트 번호
  • 원격 IP 주소 및 포트 번호
  • 수신 및 전송된 트래픽의 양(KB)입니다.
  • 연결이 활성화된 시간(밀리초)

절차

  1. 다음 명령을 입력하여 로컬 포트 22 에 대한 연결 추적을 시작합니다. 

    /usr/share/bcc/tools/tcplife -L 22
PID   COMM    LADDR      LPORT RADDR       RPORT TX_KB  RX_KB      MS
19392 sshd    192.0.2.1  22    192.0.2.17  43892    53     52 6681.95
19431 sshd    192.0.2.1  22    192.0.2.245 43902    81 249381 7585.09
19487 sshd    192.0.2.1  22    192.0.2.121 43970  6998     7 16740.35
...

    연결이 닫힐 때마다 tcplife 에는 연결 세부 정보가 표시됩니다.

  2. Ctrl +C눌러 추적 프로세스를 중지합니다.

추가 리소스

  • tcplife(8) 매뉴얼 페이지
  • /usr/share/bcc/tools/doc/tcplife_example.txt file