kafka缩容后,使用tcpdump抓包找到还在连接的用户
1、使用tcpdump抓包监控端口9092
tcpdump src port 909216:23:27.680835 IP host01.XmlIpcRegSvc > 192.168.168.1.36199: Flags [R.], seq 0, ack 1493547965, win 0, length 0
16:23:27.681877 IP host01.XmlIpcRegSvc > 192.168.168.2.50416: Flags [R.], seq 0, ack 3687755208, win 0, length 0
16:23:27.688477 IP host01.XmlIpcRegSvc > 192.168.168.3.51228: Flags [R.], seq 0, ack 270197399, win 0, length 0
16:23:27.695485 IP host01.XmlIpcRegSvc > 192.168.168.4.38945: Flags [R.], seq 0, ack 883055251, win 0, length 0
16:23:27.716208 IP host01.XmlIpcRegSvc > 192.168.168.5.48618: Flags [R.], seq 0, ack 1069307805, win 0, length 0
2、输出内容详细解释
第一列:时分秒毫秒 16:23:27.680835
第二列:网络协议 IP
第三列:发送方的ip地址+端口号,其中host01是 ip,而XmlIpcRegSvc是端口号
第四列:箭头 >, 表示数据流向
第五列:接收方的ip地址+端口号,其中192.168.168.1是 ip,而36199是端口号
第六列:冒号
第七列:数据包内容,包括Flags 标识符,seq 号,ack 号,win 窗口,数据长度 length,其中 [R.] 表示 RST标志位为 1,更多标识符见下面
Flags 标识符
使用 tcpdump 抓包后,会遇到的 TCP 报文 Flags,有以下几种:
[S] : SYN(开始连接)
[P] : PSH(推送数据)
[F] : FIN (结束连接)
[R] : RST(重置连接)
[.] : 没有 Flag (意思是除上面四种类型外的其他情况,有可能是 ACK 也有可能是 URG)
3、找到请求的IP,重定向到文件中,做进一步处理
tcpdump src port 9092 |awk '{print $5}'|awk -F '.' '{print $1"."$2"."$3"."$4}' > 1.txt4、去重,获取IP
cat 4.txt |sort|uniq192.168.168.1
192.168.168.2
192.168.168.3
192.168.168.4
192.168.168.5