引言
netstat命令是一個監控TCP/IP網絡的非常有用的工具,它可以顯示路由表、實際的網絡連接以及每一個網絡接口設備的狀態信息。
語法選項
netstat [選項]
-a或--all:顯示所有連線中的Socket;
-A<網絡類型>或--<網絡類型>:列出該網絡類型連線中的相關地址;
-c或--continuous:持續列出網絡狀態;
-C或--cache:顯示路由器配置的快取信息;
-e或--extend:顯示網絡其他相關信息;
-F或--fib:顯示FIB;
-g或--groups:顯示多重廣播功能群組組員名單;
-h或--help:在線幫助;
-i或--interfaces:顯示網絡界面信息表單;
-l或--listening:顯示監控中的服務器的Socket;
-M或--masquerade:顯示偽裝的網絡連線;
-n或--numeric:直接使用ip地址,而不通過域名服務器;
-N或--netlink或--symbolic:顯示網絡硬件外圍設備的符號連接名稱;
-o或--timers:顯示計時器;
-p或--programs:顯示正在使用Socket的程序識別碼和程序名稱;
-r或--route:顯示Routing Table;
-s或--statistice:顯示網絡工作信息統計表;
-t或--tcp:顯示TCP傳輸協議的連線狀況;
-u或--udp:顯示UDP傳輸協議的連線狀況;
-v或--verbose:顯示指令執行過程;
-V或--version:顯示版本信息;
-w或--raw:顯示RAW傳輸協議的連線狀況;
-x或--unix:此參數的效果和指定"-A unix"參數相同;
--ip或--inet:此參數的效果和指定"-A inet"參數相同。
實例
- 列出所有 TCP 監聽服務器端口
[root@hdp-01 ~]# netstat -nltp
- 列出所有端口情況
[root@xiesshavip002 ~]# netstat -a # 列出所有端口
[root@xiesshavip002 ~]# netstat -at # 列出所有TCP端口
[root@xiesshavip002 ~]# netstat -au # 列出所有UDP端口
- 列出所有處於監聽狀態的 Sockets
[root@xiesshavip002 ~]# netstat -l # 只顯示監聽端口
[root@xiesshavip002 ~]# netstat -lt # 顯示監聽TCP端口
[root@xiesshavip002 ~]# netstat -lu # 顯示監聽UDP端口
[root@xiesshavip002 ~]# netstat -lx # 顯示監聽UNIX端口
- 顯示每個協議的統計信息
[root@xiesshavip002 ~]# netstat -s # 顯示所有端口的統計信息
[root@xiesshavip002 ~]# netstat -st # 顯示所有TCP的統計信息
[root@xiesshavip002 ~]# netstat -su # 顯示所有UDP的統計信息
- 顯示 PID 和進程名稱
[root@xiesshavip002 ~]# netstat -p
- 顯示核心路由信息
[root@xiesshavip002 ~]# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default gateway 0.0.0.0 UG 0 0 0 eth0
192.168.130.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
[root@xiesshavip002 ~]# netstat -rn # 顯示數字格式,不查詢主機名稱
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.130.1 0.0.0.0 UG 0 0 0 eth0
192.168.130.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
[root@xiesshavip002 ~]#
- 查看端口和服務
[root@xiesshavip002 ~]# netstat -antp | grep ssh
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 734/sshd
tcp 0 52 192.168.130.20:22 119.129.118.189:58737 ESTABLISHED 1846/sshd: root@pts
tcp6 0 0 :::22 :::* LISTEN 734/sshd
[root@xiesshavip002 ~]# netstat -antp | grep 22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 734/sshd
tcp 0 52 192.168.130.20:22 119.129.118.189:58737 ESTABLISHED 1846/sshd: root@pts
tcp6 0 0 :::22 :::* LISTEN 734/sshd
[root@xiesshavip002 ~]#
- netstat 命令幫助
[root@xiesshavip002 ~]# netstat --help
usage: netstat [-vWeenNcCF] [<Af>] -r netstat {-V|--version|-h|--help}
netstat [-vWnNcaeol] [<Socket> ...]
netstat { [-vWeenNac] -I[<Iface>] | [-veenNac] -i | [-cnNe] -M | -s [-6tuw] } [delay]
-r, --route display routing table
-I, --interfaces=<Iface> display interface table for <Iface>
-i, --interfaces display interface table
-g, --groups display multicast group memberships
-s, --statistics display networking statistics (like SNMP)
-M, --masquerade display masqueraded connections
-v, --verbose be verbose
-W, --wide don't truncate IP addresses
-n, --numeric don't resolve names
--numeric-hosts don't resolve host names
--numeric-ports don't resolve port names
--numeric-users don't resolve user names
-N, --symbolic resolve hardware names
-e, --extend display other/more information
-p, --programs display PID/Program name for sockets
-o, --timers display timers
-c, --continuous continuous listing
-l, --listening display listening server sockets
-a, --all display all sockets (default: connected)
-F, --fib display Forwarding Information Base (default)
-C, --cache display routing cache instead of FIB
-Z, --context display SELinux security context for sockets
<Socket>={-t|--tcp} {-u|--udp} {-U|--udplite} {-w|--raw} {-x|--unix}
--ax25 --ipx --netrom
<AF>=Use '-6|-4' or '-A <af>' or '--<af>'; default: inet
List of possible address families (which support routing):
inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25)
netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP)
x25 (CCITT X.25)
查看進程占用的端口號
套接字是和 IP 地址、軟件端口和協議結合起來使用的,而端口號對傳輸控制協議(TCP)和用戶數據報協議(UDP)協議都適用,TCP 和 UDP 都可以使用 0 到 65535 之間的端口號進行通信。
以下是端口分配類別:
- 0 - 1023: 常用端口和系統端口
- 1024 - 49151: 軟件的注冊端口
- 49152 - 65535: 動態端口或私有端口
在 Linux 上的 /etc/services 文件可以查看到更多關於保留端口的信息。
可以使用以下六種方法查看端口信息。
ss:可以用於轉儲套接字統計信息。netstat:可以顯示打開的套接字列表。lsof:可以列出打開的文件。fuser:可以列出那些打開了文件的進程的進程 ID。nmap:是網絡檢測工具和端口掃描程序。systemctl:是 systemd 系統的控制管理器和服務管理器。
舉例
以下將找出 sshd 守護進程所使用的端口號
- 方法 1:使用 ss 命令
一般用於轉儲套接字統計信息。它能夠輸出類似於 netstat 輸出的信息,但它可以比其它工具顯示更多的 TCP 信息和狀態信息。
它還可以顯示所有類型的套接字統計信息,包括 PACKET、TCP、UDP、DCCP、RAW、Unix 域等。
# ss -tnlp | grep ssh
LISTEN 0 128 *:22 *:* users:(("sshd",pid=997,fd=3))
LISTEN 0 128 :::22 :::* users:(("sshd",pid=997,fd=4))
也可以使用端口號來檢查
# ss -tnlp | grep ":22"
LISTEN 0 128 *:22 *:* users:(("sshd",pid=997,fd=3))
LISTEN 0 128 :::22 :::* users:(("sshd",pid=997,fd=4))
- 方法 2:使用 netstat 命令
netstat 能夠顯示網絡連接、路由表、接口統計信息、偽裝連接以及多播成員。
默認情況下,netstat 會列出打開的套接字。如果不指定任何地址族,則會顯示所有已配置地址族的活動套接字。但 netstat 已經過時了,一般會使用 ss 來替代。
# netstat -tnlp | grep ssh
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 997/sshd
tcp6 0 0 :::22 :::* LISTEN 997/sshd
也可以使用端口號來檢查
# netstat -tnlp | grep ":22"
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1208/sshd
tcp6 0 0 :::22 :::* LISTEN 1208/sshd
- 方法 3:使用 lsof 命令
lsof 能夠列出打開的文件,並列出系統上被進程打開的文件的相關信息。
# lsof -i -P | grep ssh
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 11584 root 3u IPv4 27625 0t0 TCP *:22 (LISTEN)
sshd 11584 root 4u IPv6 27627 0t0 TCP *:22 (LISTEN)
sshd 11592 root 3u IPv4 27744 0t0 TCP vps.2daygeek.com:ssh->103.5.134.167:49902 (ESTABLISHED)
也可以使用端口號來檢查
# lsof -i tcp:22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 1208 root 3u IPv4 20919 0t0 TCP *:ssh (LISTEN)
sshd 1208 root 4u IPv6 20921 0t0 TCP *:ssh (LISTEN)
sshd 11592 root 3u IPv4 27744 0t0 TCP vps.2daygeek.com:ssh->103.5.134.167:49902 (ESTABLISHED)
- 方法 4:使用 fuser 命令
fuser 工具會將本地系統上打開了文件的進程的進程 ID 顯示在標准輸出中。
# fuser -v 22/tcp
USER PID ACCESS COMMAND
22/tcp: root 1208 F.... sshd
root 12388 F.... sshd
root 49339 F.... sshd
- 方法 5:使用 nmap 命令
nmap(“Network Mapper”)是一款用於網絡檢測和安全審計的開源工具。它最初用於對大型網絡進行快速掃描,但它對於單個主機的掃描也有很好的表現。
nmap 使用原始 IP 數據包來確定網絡上可用的主機,這些主機的服務(包括應用程序名稱和版本)、主機運行的操作系統(包括操作系統版本等信息)、正在使用的數據包過濾器或防火牆的類型,以及很多其它信息。
# nmap -sV -p 22 localhost
- 方法 6:使用 systemctl 命令
systemctl 是 systemd 系統的控制管理器和服務管理器。它取代了舊的 SysV 初始化系統管理,目前大多數現代 Linux 操作系統都采用了 systemd。