netstat命令可以用来查询整个系统的网络状态。百度百科的定义如下:
Netstat的定义是: Netstat是在内核中访问网络连接状态及其相关信息的程序,它能提供TCP连接,TCP和UDP监听,进程内存管理的相关报告。
Netstat是控制台命令,是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。
从上面的百科介绍我们可以看出,netstat命令在查询网络问题的时候十分有用。下面就来详细介绍下netstat的用法。
使用语法
netstat [-acCeFghilMnNoprstuvVwx][-A<网络类型>][--ip]参数说明
- -a或--all 显示所有连线中的Socket。
- -A或-- 列出该网络类型连线中的相关地址。
- -c或--continuous 持续列出网络状态。
- -C或--cache 显示路由器配置的快取信息。
- -e或--extend 显示网络其他相关信息。
- -F或--fib 显示FIB。
- -g或--groups 显示多重广播功能群组组员名单。
- -h或--help 在线帮助。
- -i或--interfaces 显示网络界面信息表单。
- -l或--listening 显示监控中的服务器的Socket。
- -M或--masquerade 显示伪装的网络连线。
- -n或--numeric 直接使用IP地址,而不通过域名服务器。
- -N或--netlink或--symbolic 显示网络硬件外围设备的符号连接名称。
- -o或--timers 显示计时器。
- -p或--programs 显示正在使用Socket的程序识别码和程序名称。
- -r或--route 显示Routing Table。
- -s或--statistice 显示网络工作信息统计表。
- -t或--tcp 显示TCP传输协议的连线状况。
- -u或--udp 显示UDP传输协议的连线状况。
- -v或--verbose 显示指令执行过程。
- -V或--version 显示版本信息。
- -w或--raw 显示RAW传输协议的连线状况。
- -x或--unix 此参数的效果和指定"-A unix"参数相同。
- --ip或--inet 此参数的效果和指定"-A inet"参数相同。
使用实例
[[email protected] arthas]$ netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:8004 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:11052 0.0.0.0:* LISTEN
tcp 0 0 172.24.248.108:8004 192.168.202.31:57588 ESTABLISHED
tcp 0 0 127.0.0.1:51092 127.0.0.1:8091 TIME_WAIT
tcp 0 0 172.24.248.108:8004 192.168.202.38:32283 ESTABLISHED
tcp 0 0 172.24.248.108:8004 192.168.202.38:58923 TIME_WAIT
tcp 0 0 172.24.248.108:8004 192.168.202.32:39983 ESTABLISHED
tcp 0 0 172.24.248.108:8004 192.168.202.37:38230 ESTABLISHED
tcp 0 0 172.24.248.108:8004 192.168.202.34:5081 ESTABLISHED
tcp 0 0 172.24.248.108:8004 192.168.202.32:17240 ESTABLISHED
tcp 0 0 127.0.0.1:38784 127.0.0.1:12050 TIME_WAIT
...
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 3 [ ] DGRAM 18442 /run/systemd/notify
unix 2 [ ] DGRAM 18444 /run/systemd/cgroups-agent
unix 2 [ ] DGRAM 23822 /var/run/chrony/chronyd.sock
unix 8 [ ] DGRAM 18455 /run/systemd/journal/socket
unix 18 [ ] DGRAM 18457 /dev/log
unix 2 [ ] DGRAM 14151 /var/run/nscd/socket
unix 2 [ ] DGRAM 584 /run/systemd/shutdownd
unix 3 [ ] STREAM CONNECTED 124439388 /run/dbus/system_bus_socket
unix 3 [ ] STREAM CONNECTED 42312 /run/systemd/journal/stdout
unix 3 [ ] STREAM CONNECTED 39909
上面的输出包含两个部分:
1、Active Internet connections 有源TCP连接,其中"Recv-Q"和"Send-Q"指接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。
2、Active UNIX domain sockets 有源Unix域套接口(和网络套接字一样,但是只能用于本机通信,性能可以提高一倍)。
对于Internet connections部分输出参数,做下重点介绍
- Proto:表示连接使用的协议,常见的有
tcp、udp和tcp6等; - Recv-Q:指接收队列,这个数字一般都应该是0,如果不是则表示数据包正在队列中堆积。拿Tomcat服务器举个列子:当Tcp连接建立后,Tomcat服务器中会有一个accepter线程取出这个连接让worker线程处理,现在假如连接建立的速度远远大于accepter线程取连接的速度,那么连接就在队列中堆积,此时Recv-Q就会大于0;还有一种可能就是系统遭遇到了Dos攻击,已经不能再响应外部请求;
- Send-Q:发送队列,对方没有收到的数据或者说没有Ack的,还是本地缓冲区,如果发送队列Send-Q不能很快的清零,可能是有应用向外发送数据包过快,或者是对方接收数据包不够快;
- Local Address:表示本地地址,这个字段一般有三种形式的值:
- 172.24.248.108:8004 : 这种形式的值是最常见的值,表示本机有个ip地址是172.24.248.108,有个程序正在使用本机的8004端口和外部程序建立连接;
- 0.0.0.0:8004 : 这种形式的值看起来比较奇怪,其实其中的0.0.0.0表示的是所有能表示本机的ip地址。我们知道机器是可以配置多块网卡的,比如现在我们的机器配置了两个网卡,其中一块配置的地址是172.24.248.108,另外一块配置的地址是172.24.248.109,那么这边的0.0.0.0就是表示172.24.248.108、172.24.248.109和127.0.0.1这三个IP。
- :::8004 : 其中的::表示全0的IP地址,比如:::* 表示全0的IPv6地址,*表示任意的端口号,全0的含义和0.0.0.0的含义相同。
- Foreign Address:和本机通信的外部IP地址,显示规则和Local Address类似,不再赘述了;
- State:表示连接状态,常见的连接状态如下:
LISTEN :首先服务端需要打开一个socket进行监听,状态为LISTEN./The socket is listening for incoming? connections. 侦听来自远方TCP端口的连接请求 /
SYN_SENT:客户端通过应用程序调用connect进行activeopen.于是客户端tcp发送一个SYN以请求建立一个连接.之后状态SYN_SENT。/The socket is actively attempting to establish aconnection. 在发送连接请求后等待匹配的连接请求 /
SYN_RECV:服务端应发出ACK确认客户端的 SYN,同时自己向客户端发送一个SYN.之后状态置为SYN_RECV/* A connection request has been received from the network. 在收到和发送一个连接请求后等待对连接请求的确认 /
ESTABLISHED:代表一个打开的连接,双方可以进行或已经在数据交互了。/?The?socket?has?an?established?connection.?代表一个打开的连接,数据可以传送给用户?/
FIN_WAIT1:主动关闭(activeclose)端应用程序调用close,于是其TCP发出FIN请求主动关闭连接,之后进入FIN_WAIT1状态./?The?socket?is?closed,?and?the?connection?is?shutting?down.?等待远程TCP的连接中断请求,或先前的连接中断请求的确认?/
CLOSE_WAIT:被动关闭(passiveclose)端TCP接到FIN后,就发出ACK以回应FIN请求(它的接收也作为文件结束符传递给上层应用程序),并进入CLOSE_WAIT./ The remote end has shut down, waiting for the socketto close. 等待从本地用户发来的连接中断请求 /
FIN_WAIT2:主动关闭端接到ACK后,就进入了FIN-WAIT-2./ Connection is closed, and the socket is waiting for a shutdownfrom the remote end. 从远程TCP等待连接中断请求 /
LAST_ACK:被动关闭端一段时间后,接收到文件结束符的应用程 序将调用CLOSE关闭连接。这导致它的TCP也发送一个 FIN,等待对方的ACK.就进入了LAST-ACK./ The remote end has shut down, and the socket is closed. Waiting foracknowledgement. 等待原来发向远程TCP的连接中断请求的确认 /
TIME_WAIT:在主动关闭端接收到FIN后,TCP 就发送ACK包,并进入TIME-WAIT状态。/ Thesocket is waiting after close to handle packets still in the network.等待足够的时间以确保远程TCP接收到连接中断请求的确认/
CLOSING:比较少见./?Bothsockets?are?shut?down?but?we?still?don’t?have?all?our?datasent.?等待远程TCP对连接中断的确认?/
CLOSED:被动关闭端在接受到ACK包后,就进入了closed的状态。连接结束./The?socket?is?not?being?used.?没有任何连接状态?/
UNKNOWN:未知的Socket状态。/?Thestate?of?the?socket?is?unknown.?*/
备注
- SYN: (同步序列编号,SynchronizeSequence Numbers)该标志仅在三次握手建立TCP连接时有效。表示一个新的TCP连接请求。
- ACK: (确认编号,AcknowledgementNumber)是对TCP请求的确认标志,同时提示对端系统已经成功接收所有数据。
- FIN: (结束标志,Finish)用来结束一个TCP回话.但对应端口仍处于开放状态,准备接收后续数据。
常用netstat命令
1. 列出所有信息
netstat -a
# 其中n表示使用IP地址表示机器信息,而不是使用域名
netstat -an这个命令配合grep最常使用。
2. 只显示监听端口
netstat -l3. 显示PID和进程名称
netstat -anp4. 持续输出状态信息
netstat -anpc5. 查看连接某服务端口最多的的IP地址(前20个)
netstat -nat | grep "xx.xx.xx.xx:port" |awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -20输出
4 192.168.202.38
4 192.168.202.37
4 192.168.202.36
4 192.168.202.35
3 192.168.202.34
3 192.168.202.33
3 192.168.202.32
2 192.168.202.31参考
- https://blog.csdn.net/dongl890426/article/details/86981901
- https://blog.csdn.net/qq_42014600/article/details/90372315
- https://www.cnblogs.com/ggjucheng/archive/2012/01/08/2316661.html
原文地址:https://www.cnblogs.com/54chensongxia/p/12144520.html