当前位置: 移动技术网 > 科技>操作系统>Linux > 网络状态诊断工具——netstat命令

网络状态诊断工具——netstat命令

2020年01月03日  | 移动技术网科技  | 我要评论

netstat命令可以用来查询整个系统的网络状态。百度百科的定义如下:

netstat的定义是: netstat是在内核中访问网络连接状态及其相关信息的程序,它能提供tcp连接,tcp和udp监听,进程内存管理的相关报告。

netstat是控制台命令,是一个监控tcp/ip网络的非常有用的工具,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。netstat用于显示与ip、tcpudpicmp协议相关的统计数据,一般用于检验本机各端口的网络连接情况。

从上面的百科介绍我们可以看出,netstat命令在查询网络问题的时候十分有用。下面就来详细介绍下netstat的用法。

使用语法

netstat [-accefghilmnnoprstuvvwx][-a<网络类型>][--ip]

参数说明

  • -a或--all 显示所有连线中的socket。
  • -a<网络类型>或--<网络类型> 列出该网络类型连线中的相关地址。
  • -c或--continuous 持续列出网络状态。
  • -c或--cache 显示路由器配置的快取信息。
  • -e或--extend 显示网络其他相关信息。
  • -f或--fib 显示fib。
  • -g或--groups 显示多重广播功能群组组员名单。
  • -h或--help 在线帮助。
  • -i或--interfaces 显示网络界面信息表单。
  • -l或--listening 显示监控中的服务器的socket。
  • -m或--masquerade 显示伪装的网络连线。
  • -n或--numeric 直接使用ip地址,而不通过域名服务器。
  • -n或--netlink或--symbolic 显示网络硬件外围设备的符号连接名称。
  • -o或--timers 显示计时器。
  • -p或--programs 显示正在使用socket的程序识别码和程序名称。
  • -r或--route 显示routing table。
  • -s或--statistice 显示网络工作信息统计表。
  • -t或--tcp 显示tcp传输协议的连线状况。
  • -u或--udp 显示udp传输协议的连线状况。
  • -v或--verbose 显示指令执行过程。
  • -v或--version 显示版本信息。
  • -w或--raw 显示raw传输协议的连线状况。
  • -x或--unix 此参数的效果和指定"-a unix"参数相同。
  • --ip或--inet 此参数的效果和指定"-a inet"参数相同。

使用实例

[root@sha-l0161171 arthas]$ netstat -an            
active internet connections (servers and established)
proto recv-q send-q local address           foreign address         state      
tcp        0      0 0.0.0.0:8004            0.0.0.0:*               listen     
tcp        0      0 0.0.0.0:11052           0.0.0.0:*               listen     
tcp        0      0 172.24.248.108:8004     192.168.202.31:57588    established
tcp        0      0 127.0.0.1:51092         127.0.0.1:8091          time_wait  
tcp        0      0 172.24.248.108:8004     192.168.202.38:32283    established
tcp        0      0 172.24.248.108:8004     192.168.202.38:58923    time_wait  
tcp        0      0 172.24.248.108:8004     192.168.202.32:39983    established
tcp        0      0 172.24.248.108:8004     192.168.202.37:38230    established
tcp        0      0 172.24.248.108:8004     192.168.202.34:5081     established
tcp        0      0 172.24.248.108:8004     192.168.202.32:17240    established
tcp        0      0 127.0.0.1:38784         127.0.0.1:12050         time_wait  

...

active unix domain sockets (w/o servers)
proto refcnt flags       type       state         i-node   path
unix  3      [ ]         dgram                    18442    /run/systemd/notify
unix  2      [ ]         dgram                    18444    /run/systemd/cgroups-agent
unix  2      [ ]         dgram                    23822    /var/run/chrony/chronyd.sock
unix  8      [ ]         dgram                    18455    /run/systemd/journal/socket
unix  18     [ ]         dgram                    18457    /dev/log
unix  2      [ ]         dgram                    14151    /var/run/nscd/socket
unix  2      [ ]         dgram                    584      /run/systemd/shutdownd
unix  3      [ ]         stream     connected     124439388 /run/dbus/system_bus_socket
unix  3      [ ]         stream     connected     42312    /run/systemd/journal/stdout
unix  3      [ ]         stream     connected     39909

上面的输出包含两个部分:

1、active internet connections 有源tcp连接,其中"recv-q"和"send-q"指接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。

2、active unix domain sockets 有源unix域套接口(和网络套接字一样,但是只能用于本机通信,性能可以提高一倍)。

对于internet connections部分输出参数,做下重点介绍

  • proto:表示连接使用的协议,常见的有tcpudptcp6等;
  • recv-q:指接收队列,这个数字一般都应该是0,如果不是则表示数据包正在队列中堆积。拿tomcat服务器举个列子:当tcp连接建立后,tomcat服务器中会有一个accepter线程取出这个连接让worker线程处理,现在假如连接建立的速度远远大于accepter线程取连接的速度,那么连接就在队列中堆积,此时recv-q就会大于0;还有一种可能就是系统遭遇到了dos攻击,已经不能再响应外部请求;
  • send-q:发送队列,对方没有收到的数据或者说没有ack的,还是本地缓冲区,如果发送队列send-q不能很快的清零,可能是有应用向外发送数据包过快,或者是对方接收数据包不够快;

  • local address:表示本地地址,这个字段一般有三种形式的值:

    • 172.24.248.108:8004 : 这种形式的值是最常见的值,表示本机有个ip地址是172.24.248.108,有个程序正在使用本机的8004端口和外部程序建立连接;
    • 0.0.0.0:8004 : 这种形式的值看起来比较奇怪,其实其中的0.0.0.0表示的是所有能表示本机的ip地址。我们知道机器是可以配置多块网卡的,比如现在我们的机器配置了两个网卡,其中一块配置的地址是172.24.248.108,另外一块配置的地址是172.24.248.109,那么这边的0.0.0.0就是表示172.24.248.108、172.24.248.109和127.0.0.1这三个ip。
    • :::8004 : 其中的::表示全0的ip地址,比如:::* 表示全0的ipv6地址,*表示任意的端口号,全0的含义和0.0.0.0的含义相同。
  • foreign address:和本机通信的外部ip地址,显示规则和local address类似,不再赘述了;

  • state:表示连接状态,常见的连接状态如下:

listen :the socket is listening for incoming  connections (侦听来自远方tcp端口的连接请求)
syn_sent:the socket is actively attempting to establish aconnection. (在发送连接请求后等待匹配的连接请求)
syn_recv:a connection request has been received from the network. (在收到和发送一个连接请求后等待对连接请求的确认)
established:the socket has an established connection. (代表一个打开的连接,数据可以传送给用户)
fin_wait1: the socket is closed, and the connection is shutting down. (等待远程tcp的连接中断请求,或先前的连接中断请求的确认 )
close_wait:the remote end has shut down, waiting for the socketto close. (等待从本地用户发来的连接中断请求)
fin_wait2:connection is closed, and the socket is waiting for a shutdownfrom the remote end. (从远程tcp等待连接中断请求 )
last_ack: the remote end has shut down, and the socket is closed. waiting foracknowledgement. (等待原来发向远程tcp的连接中断请求的确认)
time_wait:thesocket is waiting after close to handle packets still in the network (等待足够的时间以确保远程tcp接收到连接中断请求的确认)
closing: bothsockets are shut down but we still don’t have all our datasent. (等待远程tcp对连接中断的确认)
closed:the socket is not being used. (没有任何连接状态 )
unknown:thestate of the socket is unknown。

备注

  • syn: (同步序列编号,synchronizesequence numbers)该标志仅在三次握手建立tcp连接时有效。表示一个新的tcp连接请求。
  • ack: (确认编号,acknowledgementnumber)是对tcp请求的确认标志,同时提示对端系统已经成功接收所有数据。
  • fin: (结束标志,finish)用来结束一个tcp回话.但对应端口仍处于开放状态,准备接收后续数据。

常用netstat命令

1. 列出所有信息

netstat -a
# 其中n表示使用ip地址表示机器信息,而不是使用域名
netstat -an

这个命令配合grep最常使用。

2. 只显示监听端口

netstat -l

3. 显示pid和进程名称

netstat -anp

4. 持续输出状态信息

netstat -anpc

5. 查看连接某服务端口最多的的ip地址(前20个)

netstat -nat | grep "xx.xx.xx.xx:port" |awk '{print $5}'|awk -f: '{print $1}'|sort|uniq -c|sort -nr|head -20

输出

      4 192.168.202.38
      4 192.168.202.37
      4 192.168.202.36
      4 192.168.202.35
      3 192.168.202.34
      3 192.168.202.33
      3 192.168.202.32
      2 192.168.202.31

参考

  • https://blog.csdn.net/dongl890426/article/details/86981901
  • https://blog.csdn.net/qq_42014600/article/details/90372315
  • https://www.cnblogs.com/ggjucheng/archive/2012/01/08/2316661.html

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网