Linux之网络管理(8)网络监控工具

Linux之网络管理(8)网络监控工具

linux中有很多查看网络、进程通信状态的查看工具，而网络之间建立通信是通过soket套接字进行的，所谓套接字，就是相当于插座，而一台主机上会产生多种套接字，就是相当于插头向插座插入的过程，也就是主机中进程通信。而在网络中建立通信，就是双方各种插入对方。当然这些只是粗率的比喻，实际上，soket是用来将tcp/udp等协议发送的数据包进行封装：也就是相当于食品包装，把数据包加上port端口号、进程号等然后发送给对方，然后对方根据数据的包装袋来放回特定需要的数据。这样网络之间各种进程直接通信之间互不干扰。就像送快递和收快递的一样，谁的快递，谁来收，路线就是到你家。

linux中提供的工具：

netstat 命令

man 文档帮助的说明：

netstat - Print network connections, routing tables, interface statistics, masquerade connections, and multicast memberships

打印网络连接、路由表、接口统计、伪装连接、多播连接等信息。

选项介绍：

netstat [option]...

-r ： 显示路由表

-t ： 已经建立的tcp协议相关

-u ： 已经建立的udp协议相关

-w ： raw sokect (未包装处理的)

-l ： 处于监听状态

-a ： 所有状态

-n ： 及数字显示IP和端口

-e ： 扩展方式详细更多状态信息

-p ： 显示相关进程及PID

常用组合使用：

查明网络连接：

netstat -tan 显示所有tcp相关的连接状态

netstat -uan 显示所有udp相关的连接状态

netstat -tnl 显示所有监听状态的tcp连接

netstat -unl 显示所有监听状态的udp连接

显示路由表：

netstat -rn 不做反向解析显示内核路由表

显示接口统计数据：

netstat -i #显示所有网络接口信息状态

netstat -I=FACE_NAME #显示指定设备信息状态

例子：netstat -I=eth0 #显示eth0设备数据连接状态信息

ss命令

ss - another utility to investigate sockets

这是另一种显示套接字信息的工具，netstat命令通过遍历proc 来获取socket信息，以及是老旧的命令了，ss使用netlink与内核tcp_diga模块通信获取socket信息，更加准确。

格式及选项介绍：

ss[option] [FILTER]

option:

-t ： tcp 协议相关

-u ： udp协议相关

-w ： 裸套接字符相关

-x ： unix sock系统内核相关

-l ： listen监听状态的连接

-a ： 所有连接

-n ： 数字格式

-p ： 相关的程序及PID

-e ： 扩展的信息

-m ： 内存用量

-o ： 计时器信息

FILTER : = [ state TCP-STATE ] [ EXPRESSION ]

TCP的标准状态：

LISTEN ：监听

ESTABLISHED：已建立的连接

FIN_WAIT_1

FIN_WAIT_2

SYN_SENT

SYN_RECV

CLOSED关闭

EXPRESSION：

dport =#目标端口

sport = #源端口

例子：'( dport = :ssh or sport = :ssh )'

常用组合：

ss -tan#所有tcp连接状态

ss -tanl #所有监听的tcp状态

ss -tanlp #所有监听tcp的并显示进程PID

ss -uan #所有udp状态

额外用法：

ssh -A QUERY#查看对应类型或协议的状态，QUERY参数为要指定的类型

QUERY：

all, inet, tcp, udp, raw, unix, packet, netlink, unix_dgram, unix_stream,

unix_seqpacket, packet_raw, packet_dgram.

TCP-STATE中可用的标示符参数：

所有TCP标准状态参数：

established, syn-sent, syn-recv, fin-wait-1, fin-wait-2, time-wait, closed,

close-wait, last-ack, listen, closing.

复杂状态参数：

all 所有的状态

connection 所有连接的（除了监听和关闭的）状态

synchronized 所有同步的，除了syn-sent所有连接的状态

bucket 所有维护scokect和 syn-recv的状态

big 所有和bucket相反的状态

案例展示：

显示本地打开的所有端口 ss -l

[root@localhost www]# ss -l | tail -n 10

解析：udp是没有状态的，所以打开的连接会显示两个协议所有处于监听状态连接

显示每个进程具体打开的 socket。

[root@localhost www]# ss -pl | tail -n 10

显示所有tcp socket

[root@localhost www]# ss -t -a

显示所有UDP Socekt

[root@localhost www]# ss -u -a

显示所有已经建立的SMTP连接

[root@localhost www]# ss -o state established  '( dport = :smtp or sport = :smtp )'

显示所有已经建立的HTTP连接

[root@localhost www]# ss -o state established  '( dport = :http or sport = :http )'

找出所有连接X服务器的进程

[root@localhost www]# ss -x src /tmp/.X11-unix/*

列出当前各协议的各套接字个数

[root@localhost www]# ss -s