###
# 监控系统状态
# 抓包工具tcpdump，一般主要看数据的流向，也要关注length长度，有时候会看到一些比较奇怪的数据包，默认很多都是tcp的，有时候会遇到一些udp的包，那么很有可能是被攻击了，有一种DDos攻击叫做udp flood 洪水攻击，这种攻击是很厉害的，如果遇到这种攻击，只能接入专业防攻击的设备或者服务了，
# yum -y install tcpdump 安装这个工具
###
###
# tcpdump -nn -i ens33  这里-nn 第一个n表示会把ip显示出来，如果不加-nn的话只会显示主机名，-i指定网卡名

# tcpdump -nn -i ens33
# 05:06:18.070803 第一列表示时间
# IP 192.168.248.129.22 > 192.168.248.1.50241 第二列是ip，192.168.248.129是源ip，22是从哪个端口发出去的，192.168.248.1是目标ip，50241目标ip的端口 这两列主要关注
# Flags [P.], seq 1896273:1896337, ack 7696, win 361, length 64 这里是数据包的信息

# tcpdump -nn -i ens33 port 22 指定port 端口
# tcpdump -nn -i ens33 not port 22   排除用not 指定不要port端口是22的包
# tcpdump -nn -i ens33 not port 22 and host 192.168.248.129 加一个条件使用and只要这个192.168.248.129ip的
# tcpdump -nn -i ens33 -c 100 这里-c 100指定数据包的数量为100个
# tcpdump -nn -i ens33 -c 100 -w /tmp/1.cap这里-w /tmp/1.cap 表示把数据包指定到文件中去
#  file /tmp/1.cap 可以查看这个文件大概的信息，这个文件不能直接cat
# tcpdump -r /tmp/1.cap 使用 tcpdump -r 可以查看

# tshark 工具
# tshark和tcpdumpl类似
# yum install -y wireshark 安装tshark命令
# tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" 这条命令可以查看指定网卡80端口web的访问情况