Netstat 是一款命令行工具,可用于列出系统上所有的网络套接字连接情况,包括 tcp, udp 以及 unix 套接字,另外它还能列出处于监听状态(即等待接入请求)的套接字。如果你想确认系统上的 Web 服务有没有起来,你可以查看80端口有没有打开。以上功能使 netstat 成为网管和系统管理员的必备利器。
CentOS7,Ubnutu16.04,Debian9,openSUSE15等以后版本系统已经默认不再集成这个命令,需要安装相应的软件net-tools
一、命令详解(以CentOS6系统为例)
1、netstat命令格式如下:
默认情况下,netstat显示打开的套接字列表。如果不指定任何地址族,则将打印所有已配置地址家族的活动套接字。
netstat [参数]
参数:
-a (all) 显示所有连接中的socket信息。
-t (tcp) 仅显示tcp相关选项。
-u (udp) 仅显示udp相关选项。
-n 直接使用ip地址,而不通过域名显示。
-l 仅列出有在 Listen (监听) 的的socket信息。
-p 显示建立相关链接的PID/程序名
-r 显示路由信息,路由表,功能如route命令类似
-e 显示扩展信息,例如uid等
-s 按各个协议进行统计
-c 每隔一个固定时间,执行该netstat命令。
-i 显示所有网络接口的表,或指定的ifaces。
-o 显示网络计时器
2、执行netstat-a后输出如下:
-------------------------------------------------------------------------
[root@CentOS ~]# netstat -a
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 k8sdev.suiyi.com.c:2379 10.1.62.21:47910 ESTABLISHED
tcp 0 0 k8sdev.suiyi.com.c:2379 k8sdev.suiyi.com.:37790 ESTABLISHED
tcp 0 0 10.10.10.6:ssh 10.10.10.1:52954 ESTABLISHED
tcp 0 0 localhost:ipp *:* LISTEN
tcp 0 0 localhost:smtp *:* LISTEN
tcp 0 0 *:60644 *:* LISTEN
tcp 0 0 *:sunrpc *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
udp 0 0 localhost:703 *:*
udp 0 0 *:sunrpc *:*
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 12688 @/org/freedesktop/hal/udev_event
unix 2 [ ] DGRAM 9461 @/org/kernel/udev/udevd
unix 11 [ ] DGRAM 12008 /dev/log
unix 2 [ ] DGRAM 14694
unix 3 [ ] STREAM CONNECTED 13925 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM CONNECTED 13924
省略
-------------------------------------------------------------------------
netstat的输出结果可以分为上下两个部分
1、Active Internet connections TCP/IP网络接口部分,其中"Recv-Q"和"Send-Q"指接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。
Proto: 协议名(tcp协议还是udp协议);
Recv-Q: 网络接收队列,表示收到的数据已经在本地接收缓冲,但是还有多少没有被进程取走,recv()如果接收队列Recv-Q一直处于阻塞状态,可能是遭受了拒绝服务 denial-of-service 攻击;
Send-Q: 网路发送队列,对方没有收到的数据或者说没有Ack的,还是本地缓冲区.如果发送队列Send-Q不能很快的清零,可能是有应用向外发送数据包过快,或者是对方接收数据包不够快。
Local Address 解释:
套接字的本地端的地址和端口号。除非指定了“-n“选项,否则套接字地址将解析为其规范主机名(FQDN),端口号将被转换为相应的服务名称。IP部分如果是*号或者是0.0.0.0(-n参数存在在时)表示本地所有ip,
localhost:smtp这个表示监听本机的loopback地址的smtp端口(如果某个服务只监听了回环地址,那么只能在本机进行访问,无法通过tcp/ip 协议进行远程访问)
Foreign Address解释:
套接字的远程端的地址和端口号。格式类似于“本地地址”。IP部分如果是*号或者是0.0.0.0(-n参数存在在时)表示本地所有ip,如果尚未链接则端口以*号表示
State解释:
socket的状态。由于在原始模式中没有状态,通常在UDP中也没有使用状态,因此这一列可以保留为空白。TCP的状态有如下几项:
ESTABLISHED #已建立连接的套接字。
LISTEN #套接字正在监听传入的连接。除非您指定“-l”或“-a”选项,否则输出中不包含此类套接字。
SYN_SENT #套接字正在积极尝试建立连接。
SYN_RECV #已从网络接收到连接请求。
FIN_WAIT1 #套接字关闭,连接正在关闭。
FIN_WAIT2 #连接被关闭,套接字正在等待来自远程端的关闭。
TIME_WAIT #套接字在关闭后等待处理仍在网络中的数据包。
CLOSED #没有使用套接字。
CLOSE_WAIT #远程终端已关闭,等待套接字关闭。
LAST_ACK #远程终端已关闭,套接字已关闭。等待确认
CLOSING #两个套接字都已关闭,但我们仍然没有发送所有数据。
UNKNOWN #套接字的状态未知。
PID/Program name:显示占用这个IP:端口程序的PID及名称,只有加“-p”选项才会显示
2、Active UNIX domain sockets 有源Unix域套接口(和网络套接字一样,但是只能用于本机通信,性能可以提高一倍)。
Proto: 套接字使用的协议(通常是Unix)。
RefCnt: 参考计数(即通过这个套接字附加的进程)。
Flags: 所显示的标志是SO_ACCEPTON (显示为ACC)、SO_WAITDATA(W)或SO_NOSPACE(N)。如果未连接套接字的相应进程正在等待连接请求,则在未连接套接字上使用SO_ACCECPTON。其他的标志不正常。
Type可能的几种值:
SOCK_DGRAM #套接字以数据报(无连接)模式使用。
SOCK_STREAM #这是一个流(连接)套接字。
SOCK_RAW #套接字用作原始套接字。
SOCK_RDM #这个服务提供可靠传递的消息。
SOCK_SEQPACKET #这是一个顺序的数据包套接字。
SOCK_PACKET #原始接口访问套接字。
UNKNOWN #不知道的状态
State
FREE #套接字还没有分配
LISTENING #套接字正在监听请求。
CONNECTING #套接字正在尝试连接。
CONNECTED #套接字已经连接。
DISCONNECTING #套接字断开连接。
(empty) #套接字没有连接到其他地方。
UNKNOWN #未知的状态
PID/Program name
打开套接字的进程ID(PID)和进程名。更多信息可在上面写的活动互联网连接部分获得。
Path:这是连接到套接字上的相应进程的路径名。
3665
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
