几十万并发的情况下netstat会没有响应,建议使用 ss 命令
-a # 显示所有连接中的Socket
-t # 显示TCP连接
-u # 显示UDP连接
-n # 显示所有已建立的有效连接
netstat -anlp # 查看链接
netstat -tnlp # 只查看tcp监听端口
netstat -r # 查看路由表
并发数查看
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
SYN_RECV # 正在等待处理的请求
ESTABLISHED # 正常数据传输状态,既当前并发数
TIME_WAIT # 处理完毕,等待超时结束的请求
CLOSE_WAIT # 客户端异常关闭,没有完成4次挥手 如大量可能存在攻击行为
ss
netstat是遍历/proc下面每个PID目录,ss直接读/proc/net下面的统计信息。所以ss执行的时候消耗资源以及消耗的时间都比netstat少很多
ss -s # 列出当前socket详细信息
ss -l # 显示本地打开的所有端口
ss -tnlp # 显示每个进程具体打开的socket
ss -ant # 显示所有TCP socket
ss -u -a # 显示所有UDP Socekt
ss dst 192.168.119.113 # 匹配远程地址
ss dst 192.168.119.113:http # 匹配远程地址和端口号
ss dst 192.168.119.113:3844 # 匹配远程地址和端口号
ss src 192.168.119.103:16021 # 匹配本地地址和端口号
ss -o state established '( dport = :smtp or sport = :smtp )' # 显示所有已建立的SMTP连接
ss -o state established '( dport = :http or sport = :http )' # 显示所有已建立的HTTP连接
ss -x src /tmp/.X11-unix/* # 找出所有连接X服务器的进程