Red Hat Training

A Red Hat training course is available for RHEL 8

49.3. Exibição das conexões TCP adicionadas à fila de aceitação do Kernel

Após o kernel receber o pacote ACK em um aperto de mão TCP de 3 vias, o kernel move a conexão da fila SYN para a fila accept depois que o estado da conexão muda para ESTABLISHED. Portanto, somente as conexões TCP bem sucedidas são visíveis nesta fila.

O utilitário tcpaccept usa os recursos do eBPF para exibir todas as conexões que o kernel adiciona à fila accept. O utilitário é leve porque rastreia a função accept() do kernel em vez de capturar os pacotes e filtrá-los. Por exemplo, use tcpaccept para solução de problemas gerais para exibir as novas conexões que o servidor aceitou.

Procedimento

  1. Digite o seguinte comando para iniciar o rastreamento do kernel accept fila:

    # /usr/share/bcc/tools/tcpaccept
    PID   COMM      IP RADDR         RPORT  LADDR    LPORT
    843   sshd      4  192.0.2.17    50598  192.0.2.1  22
    1107  ns-slapd  4  198.51.100.6  38772  192.0.2.1  389
    1107  ns-slapd  4  203.0.113.85  38774  192.0.2.1  389
    ...

    Cada vez que o núcleo aceita uma conexão, tcpaccept exibe os detalhes das conexões.

  2. Pressione Ctrl C para interromper o processo de rastreamento.

Recursos adicionais

  • Para mais detalhes, consulte a página de manual tcpaccept(8).
  • Para mais detalhes sobre tcpaccept e exemplos, veja o arquivo /usr/share/bcc/tools/doc/tcpaccept_example.txt.
  • Para exibir o script eBPF tcpaccept8) uploads para o kernel, use o comando /usr/share/bcc/tools/tcpaccept --ebpf.