netstat
查看Linux中網絡系統狀態信息
補充說明
netstat命令 用來打印Linux中網絡系統的狀態信息,可讓你得知整個Linux系統的網絡情況。
語法
1netstat(選項)
選項
1-a或--all:顯示所有連線中的Socket;
2-A<網絡類型>或--<網絡類型>:列出該網絡類型連線中的相關地址;
3-c或--continuous:持續列出網絡狀態;
4-C或--cache:顯示路由器配置的快取信息;
5-e或--extend:顯示網絡其他相關信息;
6-F或--fib:顯示FIB;
7-g或--groups:顯示多重廣播功能羣組組員名單;
8-h或--help:在線幫助;
9-i或--interfaces:顯示網絡界面信息表單;
10-l或--listening:顯示監控中的服務器的Socket;
11-M或--masquerade:顯示僞裝的網絡連線;
12-n或--numeric:直接使用ip地址,而不通過域名服務器;
13-N或--netlink或--symbolic:顯示網絡硬件外圍設備的符號連接名稱;
14-o或--timers:顯示計時器;
15-p或--programs:顯示正在使用Socket的程序識別碼和程序名稱;
16-r或--route:顯示Routing Table;
17-s或--statistice:顯示網絡工作信息統計表;
18-t或--tcp:顯示TCP傳輸協議的連線狀況;
19-u或--udp:顯示UDP傳輸協議的連線狀況;
20-v或--verbose:顯示指令執行過程;
21-V或--version:顯示版本信息;
22-w或--raw:顯示RAW傳輸協議的連線狀況;
23-x或--unix:此參數的效果和指定"-A unix"參數相同;
24--ip或--inet:此參數的效果和指定"-A inet"參數相同。
實例
列出所有端口 (包括監聽和未監聽的)
1netstat -a #列出所有端口
2netstat -at #列出所有tcp端口
3netstat -au #列出所有udp端口
列出所有處於監聽狀態的 Sockets
1netstat -l #只顯示監聽端口
2netstat -lt #只列出所有監聽 tcp 端口
3netstat -lu #只列出所有監聽 udp 端口
4netstat -lx #只列出所有監聽 UNIX 端口
顯示每個協議的統計信息
1netstat -s 顯示所有端口的統計信息
2netstat -st 顯示TCP端口的統計信息
3netstat -su 顯示UDP端口的統計信息
4
5```shell
6
7 **在netstat輸出中顯示 PID 和進程名稱**
8
9```shell
10netstat -pt
netstat -p
可以與其它開關一起使用,就可以添加“PID/進程名稱”到netstat輸出中,這樣debugging的時候可以很方便的發現特定端口運行的程序。
在netstat輸出中不顯示主機,端口和用戶名(host, port or user)
當你不想讓主機,端口和用戶名顯示,使用netstat -n
。將會使用數字代替那些名稱。同樣可以加速輸出,因爲不用進行比對查詢。
1netstat -an
如果只是不想讓這三個名稱中的一個被顯示,使用以下命令:
1netsat -a --numeric-ports
2netsat -a --numeric-hosts
3netsat -a --numeric-users
持續輸出netstat信息
1netstat -c #每隔一秒輸出網絡信息
顯示系統不支持的地址族(Address Families)
1netstat --verbose
在輸出的末尾,會有如下的信息:
1netstat: no support for `AF IPX' on this system.
2netstat: no support for `AF AX25' on this system.
3netstat: no support for `AF X25' on this system.
4netstat: no support for `AF NETROM' on this system.
顯示核心路由信息
1netstat -r
使用netstat -rn
顯示數字格式,不查詢主機名稱。
找出程序運行的端口
並不是所有的進程都能找到,沒有權限的會不顯示,使用 root 權限查看所有的信息。
1netstat -ap | grep ssh
找出運行在指定端口的進程:
1netstat -an | grep ':80'
通過端口找進程ID
1netstat -anp|grep 8081 | grep LISTEN|awk '{printf $7}'|cut -d/ -f1
顯示網絡接口列表
1netstat -i
顯示詳細信息,像是ifconfig使用netstat -ie
。
IP和TCP分析
查看連接某服務端口最多的的IP地址:
1netstat -ntu | grep :80 | awk '{print $5}' | cut -d: -f1 | awk '{++ip[$1]} END {for(i in ip) print ip[i],"\t",i}' | sort -nr
TCP各種狀態列表:
1netstat -nt | grep -e 127.0.0.1 -e 0.0.0.0 -e ::: -v | awk '/^tcp/ {++state[$NF]} END {for(i in state) print i,"\t",state[i]}'
查看phpcgi進程數,如果接近預設值,說明不夠用,需要增加:
1netstat -anpo | grep "php-cgi" | wc -l
擴展知識
網絡連接狀態詳解
共有12中可能的狀態,前面11種是按照TCP連接建立的三次握手和TCP連接斷開的四次揮手過程來描述的:
-
LISTEN:首先服務端需要打開一個socket進行監聽,狀態爲 LISTEN,偵聽來自遠方TCP端口的連接請求 ;
-
SYN_SENT:客戶端通過應用程序調用connect進行active open,於是客戶端tcp發送一個SYN以請求建立一個連接,之後狀態置爲 SYN_SENT,在發送連接請求後等待匹配的連接請求;
-
SYN_RECV:服務端應發出ACK確認客戶端的 SYN,同時自己向客戶端發送一個SYN,之後狀態置爲,在收到和發送一個連接請求後等待對連接請求的確認;
-
ESTABLISHED:代表一個打開的連接,雙方可以進行或已經在數據交互了, 代表一個打開的連接,數據可以傳送給用戶;
-
FIN_WAIT1:主動關閉(active close)端應用程序調用close,於是其TCP發出FIN請求主動關閉連接,之後進入FIN_WAIT1狀態, 等待遠程TCP的連接中斷請求,或先前的連接中斷請求的確認;
-
CLOSE_WAIT:被動關閉(passive close)端TCP接到FIN後,就發出ACK以回應FIN請求(它的接收也作爲文件結束符傳遞給上層應用程序),並進入CLOSE_WAIT, 等待從本地用戶發來的連接中斷請求;
-
FIN_WAIT2:主動關閉端接到ACK後,就進入了 FIN-WAIT-2,從遠程TCP等待連接中斷請求;
-
LAST_ACK:被動關閉端一段時間後,接收到文件結束符的應用程 序將調用CLOSE關閉連接,這導致它的TCP也發送一個 FIN,等待對方的ACK.就進入了LAST-ACK,等待原來發向遠程TCP的連接中斷請求的確認;
-
TIME_WAIT:在主動關閉端接收到FIN後,TCP 就發送ACK包,並進入TIME-WAIT狀態,等待足夠的時間以確保遠程TCP接收到連接中斷請求的確認;
-
CLOSING: 比較少見,等待遠程TCP對連接中斷的確認;
-
CLOSED: 被動關閉端在接受到ACK包後,就進入了closed的狀態,連接結束,沒有任何連接狀態;
-
UNKNOWN:未知的Socket狀態;
常見標誌位
-
SYN: (同步序列編號,Synchronize Sequence Numbers)該標誌僅在三次握手建立TCP連接時有效。表示一個新的TCP連接請求。
-
ACK: (確認編號,Acknowledgement Number)是對TCP請求的確認標誌,同時提示對端系統已經成功接收所有數據。
-
FIN: (結束標誌,FINish)用來結束一個TCP回話.但對應端口仍處於開放狀態,準備接收後續數據。
來源:https://github.com/jaywcjlove/linux-command
版權申明:
- 未標註來源的內容皆為原創,未經授權請勿轉載(因轉載後排版往往錯亂、內容不可控、無法持續更新等);
- 非營利為目的,演繹本博客任何內容,請以'原文出處'或者'參考鏈接'等方式給出本站相關網頁地址(方便讀者)。