linux netstat詳解

  netstat命令用於顯示與IP、TCP、UDP和ICMP協議相關的統計數據，一般用於檢驗本機各端口的網絡連接情況。netstat是在內核中訪問網絡及相關信息的程序，它能提供TCP連接，TCP和UDP監聽，進程內存管理的相關報告。

netstat常用命令參數

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

usage: netstat [-veenNcCF] [<Af>] -r         netstat {-V|--version|-h|--help}        netstat [-vnNcaeol] [<Socket> ...]        netstat { [-veenNac] -I[<Iface>] | [-veenNac] -i | [-cnNe] -M | -s } [delay]           -r, --route                display routing table         -I, --interfaces=<Iface>   display interface table for <Iface>         -i, --interfaces           display interface table         -g, --groups               display multicast group memberships         -s, --statistics           display networking statistics (like SNMP)         -M, --masquerade           display masqueraded connections           -v, --verbose              be verbose         -n, --numeric              don't resolve names         --numeric-hosts            don't resolve host names         --numeric-ports            don't resolve port names         --numeric-users            don't resolve user names         -N, --symbolic             resolve hardware names         -e, --extend               display other/more information         -p, --programs             display PID/Program name for sockets         -c, --continuous           continuous listing           -l, --listening            display listening server sockets         -a, --all, --listening     display all sockets (default: connected)         -o, --timers               display timers         -F, --fib                  display Forwarding Information Base (default)         -C, --cache                display routing cache instead of FIB         -T, --notrim               stop trimming long addresses         -Z, --context              display SELinux security context for sockets

1 2 3 4 5

<Iface>: Name of interface to monitor/list. <Socket>={-t|--tcp} {-u|--udp} {-S|--sctp} {-w|--raw} {-x|--unix} --ax25 --ipx --netrom <AF>=Use '-A <af>' or '--<af>'; default: inet List of possible address families (which support routing): inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25)

 

netstat輸出結果分析

說明：

從整體上看，netstat的輸出結果可以分爲兩個部分：

一個是Active Internet connections，稱爲有源TCP連接，其中"Recv-Q"和"Send-Q"指的是接收隊列和發送隊列。這些數字一般都應該是0。如果不是則表示軟件包正在隊列中堆積。這種情況只能在非常少的情況見到。

另一個是Active UNIX domain sockets，稱爲有源Unix域套接口(和網絡套接字一樣，但是隻能用於本機通信，性能可以提高一倍)。

Proto顯示連接使用的協議,RefCnt表示連接到本套接口上的進程號,Types顯示套接口的類型,State顯示套接口當前的狀態,Path表示連接到套接口的其它進程使用的路徑名。

套接口類型：

-t ：TCP

-u ：UDP

-raw ：RAW類型

--unix ：UNIX域類型

--ax25 ：AX25類型

--ipx ：ipx類型

--netrom ：netrom類型

狀態說明：

LISTEN：偵聽來自遠方的TCP端口的連接請求

SYN-SENT：再發送連接請求後等待匹配的連接請求（如果有大量這樣的狀態包，檢查是否中招了）

SYN-RECEIVED：再收到和發送一個連接請求後等待對方對連接請求的確認（如有大量此狀態，估計被flood攻擊了）

ESTABLISHED：代表一個打開的連接

FIN-WAIT-1：等待遠程TCP連接中斷請求，或先前的連接中斷請求的確認

FIN-WAIT-2：從遠程TCP等待連接中斷請求

CLOSE-WAIT：等待從本地用戶發來的連接中斷請求

CLOSING：等待遠程TCP對連接中斷的確認

LAST-ACK：等待原來的發向遠程TCP的連接中斷請求的確認（不是什麼好東西，此項出現，檢查是否被攻擊）

TIME-WAIT：等待足夠的時間以確保遠程TCP接收到連接中斷請求的確認

CLOSED：沒有任何連接狀態

常用的命令展示

顯示網卡列表

1	netstat –i

顯示組播組的關係

1	netstat –g

顯示網絡統計

1	netstat -s

常用組合：

1 2	netstat -lntup  說明： l:listening   n:num   t:tcp  u:udp  p:process

顯示關於以太網的統計數據

1 2 3 4

netstat –e   說明： 用於顯示關於以太網的統計數據。它列出的項目包括傳送的數據報的總字節數、錯誤數、刪除數、數據報的數量和廣播的數量。這些統計數據既有發送的數據報數量，也有接收的數據報數量。這個選項可以用來統計一些基本的網絡流量）

顯示路由信息

1	netstat –r

1	route –n   【也可以顯示路由信息】

統計機器中網絡連接各個狀態個數

1	netstat -an | awk '/^tcp/ {++S[$NF]}  END {for (a in S) print a,S[a]} '

把狀態全都取出來後使用uniq -c統計後再進行排序

1	netstat -ant|awk '{print $6}'|sort|uniq –c

查看連接某服務端口最多的的IP地址

1	netstat -ant|grep "192.168.25.*"|awk '{print $5}'|awk -F: '{print $1}'|sort -nr|uniq –c

找出程序運行的端口

1	netstat -ap | grep ssh

 

在 netstat 輸出中顯示 TCP連接信息

netstat -pt

說明：netstat -p 可以與其它開關一起使用，就可以添加 “PID/進程名稱”

找出運行在指定端口的進程

其他注意事項：

小技巧： netstat -lnt | grep ssh | wc -l -->只要大於2個，ssh服務就是好的

作者：小a玖拾柒

出處：http://www.cnblogs.com/ftl1012/

-------------------------------------------

個性簽名: 所有的事情到最後都是好的，如果不好，那說明事情還沒有到最後～

本文版權歸作者【小a玖拾柒】和【博客園】共有，歡迎轉載，但未經作者同意必須保留此段聲明，且在文章頁面明顯位置給出原文連接，否則保留追究法律責任的權利！