Я хотел бы собрать свой собственный небольшой скрипт для анализа данных conntrack, чтобы получить настроенную сетевую информацию из некоторых ящиков Linux, которые также являются маршрутизаторами NAT.
Пример строки из таблиц conntrack:
ipv4 2 tcp 6 300 ESTABLISHED src=1.1.1.2 dst=2.2.2.2 sport=2000 dport=80 src=2.2.2.2 dst=1.1.1.1 sport=80 dport=12000 [ASSURED] mark=0 use=2
все эти поля описаны в другом месте, но я не могу найти никакой информации в самом последнем столбце (используйте = 2, но обычно используйте = 1).
при планировании моего сценария мне пришло в голову, что те же самые комбинации IP / порта могут теоретически повторяться - то есть открываться, передавать некоторые данные, закрываться и через некоторое время снова открываться.
Может ли этот столбец «использовать» указывать на то, что эта комбинация IP / порта уже наблюдалась раньше? Если да, то в какой промежуток времени?
В use свойство - это счетчик ссылок. В основном он используется сборщиком мусора. Вместо периодического анализа /proc/net/nf_conntrack файл, вы можете проанализировать вывод conntrack -E команда для обработки событий conntrack в реальном времени.
Если вас интересуют подробности, вы можете прочитать главу 9 "Сеть ядра Linux: реализация и теория".