在使用 Linux系统时,常常会遇到各种各样的问题,比如系统容易死机或者运行速度突然变慢,这时我们常常猜测:是否硬盘空间不足,是否内存不足,是否 I/O出现瓶颈,还是系统的核心参数出了问题?这时,我们应该考虑使用 sar工具对系统做一个全面了解,分析系统的负载状况。
sar(System ActivityReporter)是系统活动情况报告的缩写。sar工具将对系统当前的状态进行取样,然后通过计算数据和比例来表达系统的当前运行状态。
它的特点是可以连续对系统取样,获得大量的取样数据;取样数据和分析的结果都可以存入文件,所需的负载很小。 sar是目前 Linux上最为全面的系统性能分析工具之一,可以从多方面对系统的活动进行报告,包括:文件的读写情况、系统调用的使用情况、磁盘I/O、CPU效率、内存使用状况、进程活动及IPC有关的活动等。
为了提供不同的信息,sar提供了丰富的选项、因此使用较为复杂。
# hping3 -S -p 80 -i u100 192.168.1.106
# ssh root@192.168.1.106
软终端不高导致系统卡顿,其实不是系统卡顿,而是由于使用ssh远程登录,在这期间hping3大量发包,导致其他网络连接延迟,ssh通过网络连接,使ssh客户端感觉卡顿现象。
ssh的tty其实也是通过网络传输的,既然是经过网卡,当然会卡,这就是网络攻击所带来的结果。
1. 找系统类的错误, dmesg | tail
2. 直接的网络错误 sar -n ETCP 1 或者 sar -n EDEV 1
3.查看网络状态, netstat -s 或者 watch -d netstat -s
4.网络状态的统计 ss -ant | awk '{++s[$1]} END {for(k in s) print k,s[k]}'
Linux系列之SAR命令使用详解
https://blog.csdn.net/volitationlong/article/details/81741754
sar命令使用详解
https://www.cnblogs.com/howhy/p/6396437.html
SAR命令详细用法
https://blog.csdn.net/danielmoore/article/details/79083180
sar , Linux 上最为全面的系统性能分析工具之一
https://blog.csdn.net/weixin_34349320/article/details/88860206
1、 chfn
这个指令用来修改用户的finger information(指纹信息),作为后门的chfn可以接收用户输入的password,从而进入rootkit模式。
2、 chsh
切换shell的指令,作为后门的chfn可以接收用户输入的password,从而进入rootkit模式。
3、 crontab使用预设的"正常"的crontab(计划任务)给用户看,从而将rootkit设置的后门启动项隐藏起来。
4、 du
和ls作用类似,rootkit劫持后会隐藏rootkit相关文件,从而欺骗用户。
5、 find
find [-H] [-L] [-P] [-Olevel] [-D help|tree|search|stat|rates|opt|exec] [path... [expression]寻找指定文件的指令,rootkit劫持后会隐藏rootkit相关文件,从而欺骗用户 。
6、 ifconfig
rootkit劫持后会隐藏"混杂模式"的标志位(混杂模式被rootkit用来进行网络流量嗅探) 。
7、 inetd
用户后门访问的远程访问服务器。
8、 killall
rootkit劫持了原本的"杀进程kill、killall"指令之后,会在本地维护份"ROOTKIT_PROCESS_FILE"列表,凡是在这个列表中的进程都禁止杀死,以此对抗系统管理员使用kill命令强行结束rootkit后门程序 。
9、 login
rootkit劫持了login程序之后,除了保证原本的正常用户登录过程,还允许rootkit种植者使用一种叫"万能密码"的机制,即只要用户输入的密码是一个指定的"万能密码",则用户可以以任何身份登录任何用户。
10、 ls
对指定文件列表中的文件进行隐藏。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)