查看Linux中網絡系統狀態信息
netstat命令 用來打印Linux中網絡系統的狀態信息,可讓你得知整個Linux系統的網絡情況。
netstat(選項)
-a或--all:顯示所有連線中的Socket;
-A<網絡類型>或--<網絡類型>:列出該網絡類型連線中的相關地址;
-c或--continuous:持續列出網絡狀態;
-C或--cache:顯示路由器配置的快取信息;
-e或--extend:顯示網絡其他相關信息;
-F或--fib:顯示FIB;
-g或--groups:顯示多重廣播功能群組組員名單;
-h或--help:在線幫助;
-i或--interfaces:顯示網絡界面信息表單;
-l或--listening:顯示監控中的服務器的Socket;
-M或--masquerade:顯示偽裝的網絡連線;
-n或--numeric:直接使用ip地址,而不通過域名服務器;
-N或--netlink或--symbolic:顯示網絡硬件外圍設備的符號連接名稱;
-o或--timers:顯示計時器;
-p或--programs:顯示正在使用Socket的程序識別碼和程序名稱;
-r或--route:顯示Routing Table;
-s或--statistice:顯示網絡工作信息統計表;
-t或--tcp:顯示TCP傳輸協議的連線狀況;
-u或--udp:顯示UDP傳輸協議的連線狀況;
-v或--verbose:顯示指令執行過程;
-V或--version:顯示版本信息;
-w或--raw:顯示RAW傳輸協議的連線狀況;
-x或--unix:此參數的效果和指定"-A unix"參數相同;
--ip或--inet:此參數的效果和指定"-A inet"參數相同。
列出所有端口 (包括監聽和未監聽的)
netstat -a #列出所有端口
netstat -at #列出所有tcp端口
netstat -au #列出所有udp端口
列出所有處于監聽狀態的 Sockets
netstat -l #只顯示監聽端口
netstat -lt #只列出所有監聽 tcp 端口
netstat -lu #只列出所有監聽 udp 端口
netstat -lx #只列出所有監聽 UNIX 端口
顯示每個協議的統計信息
netstat -s 顯示所有端口的統計信息
netstat -st 顯示TCP端口的統計信息
netstat -su 顯示UDP端口的統計信息
?```shell
**在netstat輸出中顯示 PID 和進程名稱**
?```shell
netstat -pt
netstat -p可以與其它開關一起使用,就可以添加“PID/進程名稱”到netstat輸出中,這樣debugging的時候可以很方便的發現特定端口運行的程序。
在netstat輸出中不顯示主機,端口和用戶名(host, port or user)
當你不想讓主機,端口和用戶名顯示,使用netstat -n。將會使用數字代替那些名稱。同樣可以加速輸出,因為不用進行比對查詢。
netstat -an
如果只是不想讓這三個名稱中的一個被顯示,使用以下命令:
netsat -a --numeric-ports
netsat -a --numeric-hosts
netsat -a --numeric-users
持續輸出netstat信息
netstat -c #每隔一秒輸出網絡信息
顯示系統不支持的地址族(Address Families)
netstat --verbose
在輸出的末尾,會有如下的信息:
netstat: no support for `AF IPX' on this system.
netstat: no support for `AF AX25' on this system.
netstat: no support for `AF X25' on this system.
netstat: no support for `AF NETROM' on this system.
顯示核心路由信息
netstat -r
使用netstat -rn顯示數字格式,不查詢主機名稱。
找出程序運行的端口
并不是所有的進程都能找到,沒有權限的會不顯示,使用 root 權限查看所有的信息。
netstat -ap | grep ssh
找出運行在指定端口的進程:
netstat -an | grep ':80'
通過端口找進程ID
netstat -anp|grep 8081 | grep LISTEN|awk '{printf $7}'|cut -d/ -f1
顯示網絡接口列表
netstat -i
顯示詳細信息,像是ifconfig使用netstat -ie。
IP和TCP分析
查看連接某服務端口最多的的IP地址:
netstat -ntu | grep :80 | awk '{print $5}' | cut -d: -f1 | awk '{++ip[$1]} END {for(i in ip) print ip[i],"\t",i}' | sort -nr
TCP各種狀態列表:
netstat -nt | grep -e 127.0.0.1 -e 0.0.0.0 -e ::: -v | awk '/^tcp/ {++state[$NF]} END {for(i in state) print i,"\t",state[i]}'
查看phpcgi進程數,如果接近預設值,說明不夠用,需要增加:
netstat -anpo | grep "php-cgi" | wc -l
共有12中可能的狀態,前面11種是按照TCP連接建立的三次握手和TCP連接斷開的四次揮手過程來描述的:
LISTEN:首先服務端需要打開一個socket進行監聽,狀態為 LISTEN,偵聽來自遠方TCP端口的連接請求 ;
SYN_SENT:客戶端通過應用程序調用connect進行active open,于是客戶端tcp發送一個SYN以請求建立一個連接,之后狀態置為 SYN_SENT,在發送連接請求后等待匹配的連接請求;
SYN_RECV:服務端應發出ACK確認客戶端的 SYN,同時自己向客戶端發送一個SYN,之后狀態置為,在收到和發送一個連接請求后等待對連接請求的確認;
ESTABLISHED:代表一個打開的連接,雙方可以進行或已經在數據交互了, 代表一個打開的連接,數據可以傳送給用戶;
FIN_WAIT1:主動關閉(active close)端應用程序調用close,于是其TCP發出FIN請求主動關閉連接,之后進入FIN_WAIT1狀態, 等待遠程TCP的連接中斷請求,或先前的連接中斷請求的確認;
CLOSE_WAIT:被動關閉(passive close)端TCP接到FIN后,就發出ACK以回應FIN請求(它的接收也作為文件結束符傳遞給上層應用程序),并進入CLOSE_WAIT, 等待從本地用戶發來的連接中斷請求;
FIN_WAIT2:主動關閉端接到ACK后,就進入了 FIN-WAIT-2,從遠程TCP等待連接中斷請求;
LAST_ACK:被動關閉端一段時間后,接收到文件結束符的應用程 序將調用CLOSE關閉連接,這導致它的TCP也發送一個 FIN,等待對方的ACK.就進入了LAST-ACK,等待原來發向遠程TCP的連接中斷請求的確認;
TIME_WAIT:在主動關閉端接收到FIN后,TCP 就發送ACK包,并進入TIME-WAIT狀態,等待足夠的時間以確保遠程TCP接收到連接中斷請求的確認;
CLOSING: 比較少見,等待遠程TCP對連接中斷的確認;
CLOSED: 被動關閉端在接受到ACK包后,就進入了closed的狀態,連接結束,沒有任何連接狀態;
UNKNOWN:未知的Socket狀態;
常見標志位
SYN: (同步序列編號,Synchronize Sequence Numbers)該標志僅在三次握手建立TCP連接時有效。表示一個新的TCP連接請求。
ACK: (確認編號,Acknowledgement Number)是對TCP請求的確認標志,同時提示對端系統已經成功接收所有數據。
FIN: (結束標志,FINish)用來結束一個TCP回話.但對應端口仍處于開放狀態,準備接收后續數據。