网络状态诊断工具——netstat命令

netstat命令可以用来查询整个系统的网络状态。百度百科的定义如下：

netstat的定义是： netstat是在内核中访问网络连接状态及其相关信息的程序，它能提供tcp连接，tcp和udp监听，进程内存管理的相关报告。

netstat是控制台命令,是一个监控tcp/ip网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。netstat用于显示与ip、tcp、udp和icmp协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

从上面的百科介绍我们可以看出，netstat命令在查询网络问题的时候十分有用。下面就来详细介绍下netstat的用法。

使用语法

netstat [-accefghilmnnoprstuvvwx][-a<网络类型>][--ip]

参数说明

• -a或--all 显示所有连线中的socket。
• -a或-- 列出该网络类型连线中的相关地址。网络类型>网络类型>
• -c或--continuous 持续列出网络状态。
• -c或--cache 显示路由器配置的快取信息。
• -e或--extend 显示网络其他相关信息。
• -f或--fib 显示fib。
• -g或--groups 显示多重广播功能群组组员名单。
• -h或--help 在线帮助。
• -i或--interfaces 显示网络界面信息表单。
• -l或--listening 显示监控中的服务器的socket。
• -m或--masquerade 显示伪装的网络连线。
• -n或--numeric 直接使用ip地址，而不通过域名服务器。
• -n或--netlink或--symbolic 显示网络硬件外围设备的符号连接名称。
• -o或--timers 显示计时器。
• -p或--programs 显示正在使用socket的程序识别码和程序名称。
• -r或--route 显示routing table。
• -s或--statistice 显示网络工作信息统计表。
• -t或--tcp 显示tcp传输协议的连线状况。
• -u或--udp 显示udp传输协议的连线状况。
• -v或--verbose 显示指令执行过程。
• -v或--version 显示版本信息。
• -w或--raw 显示raw传输协议的连线状况。
• -x或--unix 此参数的效果和指定"-a unix"参数相同。
• --ip或--inet 此参数的效果和指定"-a inet"参数相同。

使用实例

[root@sha-l0161171 arthas]$ netstat -an            
active internet connections (servers and established)
proto recv-q send-q local address           foreign address         state      
tcp        0      0 0.0.0.0:8004            0.0.0.0:*               listen     
tcp        0      0 0.0.0.0:11052           0.0.0.0:*               listen     
tcp        0      0 172.24.248.108:8004     192.168.202.31:57588    established
tcp        0      0 127.0.0.1:51092         127.0.0.1:8091          time_wait  
tcp        0      0 172.24.248.108:8004     192.168.202.38:32283    established
tcp        0      0 172.24.248.108:8004     192.168.202.38:58923    time_wait  
tcp        0      0 172.24.248.108:8004     192.168.202.32:39983    established
tcp        0      0 172.24.248.108:8004     192.168.202.37:38230    established
tcp        0      0 172.24.248.108:8004     192.168.202.34:5081     established
tcp        0      0 172.24.248.108:8004     192.168.202.32:17240    established
tcp        0      0 127.0.0.1:38784         127.0.0.1:12050         time_wait  

...

active unix domain sockets (w/o servers)
proto refcnt flags       type       state         i-node   path
unix  3      [ ]         dgram                    18442    /run/systemd/notify
unix  2      [ ]         dgram                    18444    /run/systemd/cgroups-agent
unix  2      [ ]         dgram                    23822    /var/run/chrony/chronyd.sock
unix  8      [ ]         dgram                    18455    /run/systemd/journal/socket
unix  18     [ ]         dgram                    18457    /dev/log
unix  2      [ ]         dgram                    14151    /var/run/nscd/socket
unix  2      [ ]         dgram                    584      /run/systemd/shutdownd
unix  3      [ ]         stream     connected     124439388 /run/dbus/system_bus_socket
unix  3      [ ]         stream     connected     42312    /run/systemd/journal/stdout
unix  3      [ ]         stream     connected     39909

上面的输出包含两个部分：

1、active internet connections 有源tcp连接，其中"recv-q"和"send-q"指接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。

2、active unix domain sockets 有源unix域套接口(和网络套接字一样，但是只能用于本机通信，性能可以提高一倍)。

对于internet connections部分输出参数，做下重点介绍

• proto：表示连接使用的协议，常见的有tcp、udp和tcp6等；
• recv-q：指接收队列，这个数字一般都应该是0，如果不是则表示数据包正在队列中堆积。拿tomcat服务器举个列子：当tcp连接建立后，tomcat服务器中会有一个accepter线程取出这个连接让worker线程处理，现在假如连接建立的速度远远大于accepter线程取连接的速度，那么连接就在队列中堆积，此时recv-q就会大于0；还有一种可能就是系统遭遇到了dos攻击，已经不能再响应外部请求；
• send-q：发送队列，对方没有收到的数据或者说没有ack的,还是本地缓冲区，如果发送队列send-q不能很快的清零，可能是有应用向外发送数据包过快，或者是对方接收数据包不够快；

• local address：表示本地地址，这个字段一般有三种形式的值：

  • 172.24.248.108:8004 ： 这种形式的值是最常见的值，表示本机有个ip地址是172.24.248.108，有个程序正在使用本机的8004端口和外部程序建立连接；
  • 0.0.0.0:8004 ： 这种形式的值看起来比较奇怪，其实其中的0.0.0.0表示的是所有能表示本机的ip地址。我们知道机器是可以配置多块网卡的，比如现在我们的机器配置了两个网卡，其中一块配置的地址是172.24.248.108,另外一块配置的地址是172.24.248.109，那么这边的0.0.0.0就是表示172.24.248.108、172.24.248.109和127.0.0.1这三个ip。
  • :::8004 ： 其中的::表示全0的ip地址，比如:::* 表示全0的ipv6地址，*表示任意的端口号，全0的含义和0.0.0.0的含义相同。
• foreign address：和本机通信的外部ip地址，显示规则和local address类似，不再赘述了；

• state：表示连接状态，常见的连接状态如下：

listen ：the socket is listening for incoming  connections (侦听来自远方tcp端口的连接请求)
syn_sent：the socket is actively attempting to establish aconnection. （在发送连接请求后等待匹配的连接请求）
syn_recv：a connection request has been received from the network. （在收到和发送一个连接请求后等待对连接请求的确认）
established：the socket has an established connection. （代表一个打开的连接，数据可以传送给用户）
fin_wait1： the socket is closed, and the connection is shutting down. （等待远程tcp的连接中断请求，或先前的连接中断请求的确认 ）
close_wait：the remote end has shut down, waiting for the socketto close. （等待从本地用户发来的连接中断请求）
fin_wait2：connection is closed, and the socket is waiting for a shutdownfrom the remote end. （从远程tcp等待连接中断请求 ）
last_ack： the remote end has shut down, and the socket is closed. waiting foracknowledgement. （等待原来发向远程tcp的连接中断请求的确认）
time_wait：thesocket is waiting after close to handle packets still in the network （等待足够的时间以确保远程tcp接收到连接中断请求的确认）
closing： bothsockets are shut down but we still don’t have all our datasent. （等待远程tcp对连接中断的确认）
closed：the socket is not being used. （没有任何连接状态 ）
unknown：thestate of the socket is unknown。

备注

• syn: (同步序列编号,synchronizesequence numbers)该标志仅在三次握手建立tcp连接时有效。表示一个新的tcp连接请求。
• ack: (确认编号,acknowledgementnumber)是对tcp请求的确认标志,同时提示对端系统已经成功接收所有数据。
• fin: (结束标志,finish)用来结束一个tcp回话.但对应端口仍处于开放状态,准备接收后续数据。

常用netstat命令

1. 列出所有信息

netstat -a
# 其中n表示使用ip地址表示机器信息，而不是使用域名
netstat -an

这个命令配合grep最常使用。

2. 只显示监听端口

netstat -l

3. 显示pid和进程名称

netstat -anp

4. 持续输出状态信息

netstat -anpc

5. 查看连接某服务端口最多的的ip地址（前20个）

netstat -nat | grep "xx.xx.xx.xx:port" |awk '{print $5}'|awk -f: '{print $1}'|sort|uniq -c|sort -nr|head -20

输出

      4 192.168.202.38
      4 192.168.202.37
      4 192.168.202.36
      4 192.168.202.35
      3 192.168.202.34
      3 192.168.202.33
      3 192.168.202.32
      2 192.168.202.31

参考

• https://blog.csdn.net/dongl890426/article/details/86981901
• https://blog.csdn.net/qq_42014600/article/details/90372315
• https://www.cnblogs.com/ggjucheng/archive/2012/01/08/2316661.html