一、核心监控指标定义
服务器连接监控需关注三个核心指标:活动连接数、连接状态分布和流量吞吐量。活动连接数反映服务器当前负载,可通过ss -s命令获取统计摘要。连接状态分布需重点监控ESTABLISHED、TIME_WAIT等关键TCP状态,异常比例超过5%即需排查。
| 状态码 | 描述 |
|---|---|
| SYN_RECV | 等待确认连接请求 |
| ESTABLISHED | 数据传输状态 |
| FIN_WAIT1 | 等待终止连接 |
二、TCP连接分析工具
推荐使用以下工具组合实现多维度监控:
- netstat:快速查看连接摘要,支持过滤特定IP
netstat -an | grep 192.168.1.1 - ss:替代netstat的高性能工具,支持显示进程信息
ss -tp - Prometheus:配置node_exporter实现长期趋势分析
三、流量统计进阶技巧
实时流量分析推荐工具链:
- 安装
iftop进行接口级流量监控,支持按带宽排序连接 - 部署
ntopng实现Web可视化,可生成每小时流量报告 - 使用
vnstat记录历史数据,分析流量周期性特征
四、安全审计实践方法
建立安全监控体系应包含:
- 异常连接检测脚本,记录源/目的IP和端口信息
- SYN洪水攻击防护,设置
net.ipv4.tcp_syncookies=1 - 日志分析规则,筛选RST异常包和短时高频连接
最佳实践与注意事项
实施监控时需注意:生产环境避免频繁执行netstat命令,建议间隔≥30秒;历史数据保留周期推荐≥90天;报警阈值应根据业务特性动态调整,Web服务器TIME_WAIT状态连接正常占比为10%-25%。
