lsof 命令
选项详解
1. 关键选项
- 理解一些关于
lsof
如何工作的关键性东西是很重要的。当你给它传递选项时,默认行为是对结果进行“或”运算。因此,如果你正使用-i
来拉出一个端口列表,同时又用-p
来拉出一个进程列表,那么默认情况下你会获得两者的结果。 - 下面的一些其他东西需要牢记:
- 默认,没有选项,
lsof
列出活跃进程的所有打开文件 - 组合,可以将选项组合到一起,如
-abc
,但要当心哪些选项需要参数 - -a,将结果进行“与”运算(而不是“或”运算)
- -l,在输出显示用户 id 而不是用户名
- -t,仅获取进程ID
- -h,获取
lsof
使用帮助 - -U,获取 UNIX 套接口地址
- -F,格式化输出结果,用于其他命令。可以通过多种方式格式化,如
-F pcfn
(用户进程ID、命令名、文件描述符、文件名,并以空终止)
- 默认,没有选项,
2. 获取网络信息
- 我们主要将
lsof
用户获取关于系统怎么和网络交互的信息。
- 使用
-i
显示所有连接
- 可以代替
netsta
- 示例:
lsof -i
- 可以代替
- 使用
-i 6
仅获取 IPv6 流量
- 示例:
lsof -i 6
- 示例:
- 仅显示
TCP
连接(同理可获得 UDP 连接)
- 可以通过在 -i 后提供对应的协议来仅仅显示 TCP 或者 UDP 连接信息。
- 示例:
lsof -iTCP
- 使用
@host
来显示指定到指定主机的连接
- 可以通过 ip 地址来检查是否开放连接到网络中或互联网上某个指定主机的连接时十分有用。
- 示例:
lsof -i@172.16.12.5
- 使用
@host:port
显示基于主机与端口的连接
- 组合主机和端口的显示信息
- 示例:
lsof -i@172.16.12.5:22
- 找出监听端口
- 找出正在等待的端口
- 示例:
lsof -i -sTCP:LISTEN
==》等同于lsof -i | grep -i LISTEN
- 找出已建立的连接
- 找出已经建立的连接
- 示例:
lsof -i -sTCP:ESTABLISHED
==》等同于lsof -i | grep -i ESTABLISHED
- 使用
3. 获取用户信息
- 可以获取各种用户的信息,以及它们在系统上正干着的事情,包括它们的网络波动、对文件的操作等。
- 使用
-u
显示指定用户打开了什么
- 示例:
lsof -u username
- 示例:
- 使用
-u ^user
来显示除指定用户以外的其他所有用户所做的事情
- 示例:
lsof -u ^username
- 示例:
- 杀死指定用户所做的一切事情
- 示例:
kill -9 'lsof -t -u username'
- 示例:
- 命令和进程
- 可以查看指定程序或进程由什么启动,这通常会很有用,而你可以使用
lsof
通过名称或进程ID过滤来完成这个任务。使用-c
查看指定的命令正在使用的文件和网络连接 - 示例:
lsof -c yourcommand
lsof -t -c yourcommand
,仅仅只返回所输入的命令的 PID
- 可以查看指定程序或进程由什么启动,这通常会很有用,而你可以使用
- 使用
-p
查看指定进程ID已打开的内容
- 示例:
lsof -p 10075
- 示例:
- 使用
4. 文件和目录
- 通过查看指定文件或目录,你可以看到系统上所有正与其交互的资源——包括用户、进程等。
- 显示与指定目录交互的所有一切
- 示例:
lsof /var/log/messages/
- 示例:
- 显示与指定文件交互的所有一切
- 示例:
lsof /home/username/yourfiles
- 示例:
- 显示与指定目录交互的所有一切
5. 高级用法
- 与 tcpdump 类似,当你开始组合查询时,它就显示了它强大的功能。
- 显示某用户连接到
1.1.1.1
所做的一切
- 示例:
lsof -u username -i@1.1.1.1
- 示例:
- 同时使用 -t 和 -c 选项以给进程发送 HUP 信号
- 示例:
kill -HUP 'lsof -t -c sshd'
- 示例:
lsof +L1
显示所有打开的链接数小于1的文件
- 这通常表示某个攻击者正尝试通过删除文件入口来隐藏文件的内容。
- 示例:
lsof +L1
- 显示某个端口范围的打开的连接
- 示例:
lsof -i@fw.google.com:2150=2180
- 示例:
- 显示某用户连接到