网络状态诊断工具——netstat命令
netstat
命令可以用来查询整个系统的网络状态。百度百科的定义如下:
netstat的定义是: netstat是在内核中访问网络连接状态及其相关信息的程序,它能提供tcp连接,tcp和udp监听,进程内存管理的相关报告。
netstat是控制台命令,是一个监控tcp/ip网络的非常有用的工具,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。netstat用于显示与ip、tcp、udp和icmp协议相关的统计数据,一般用于检验本机各端口的网络连接情况。
从上面的百科介绍我们可以看出,netstat
命令在查询网络问题的时候十分有用。下面就来详细介绍下netstat
的用法。
使用语法
netstat [-accefghilmnnoprstuvvwx][-a<网络类型>][--ip]
参数说明
- -a或--all 显示所有连线中的socket。
- -a或-- 列出该网络类型连线中的相关地址。网络类型>网络类型>
- -c或--continuous 持续列出网络状态。
- -c或--cache 显示路由器配置的快取信息。
- -e或--extend 显示网络其他相关信息。
- -f或--fib 显示fib。
- -g或--groups 显示多重广播功能群组组员名单。
- -h或--help 在线帮助。
- -i或--interfaces 显示网络界面信息表单。
- -l或--listening 显示监控中的服务器的socket。
- -m或--masquerade 显示伪装的网络连线。
- -n或--numeric 直接使用ip地址,而不通过域名服务器。
- -n或--netlink或--symbolic 显示网络硬件外围设备的符号连接名称。
- -o或--timers 显示计时器。
- -p或--programs 显示正在使用socket的程序识别码和程序名称。
- -r或--route 显示routing table。
- -s或--statistice 显示网络工作信息统计表。
- -t或--tcp 显示tcp传输协议的连线状况。
- -u或--udp 显示udp传输协议的连线状况。
- -v或--verbose 显示指令执行过程。
- -v或--version 显示版本信息。
- -w或--raw 显示raw传输协议的连线状况。
- -x或--unix 此参数的效果和指定"-a unix"参数相同。
- --ip或--inet 此参数的效果和指定"-a inet"参数相同。
使用实例
[root@sha-l0161171 arthas]$ netstat -an active internet connections (servers and established) proto recv-q send-q local address foreign address state tcp 0 0 0.0.0.0:8004 0.0.0.0:* listen tcp 0 0 0.0.0.0:11052 0.0.0.0:* listen tcp 0 0 172.24.248.108:8004 192.168.202.31:57588 established tcp 0 0 127.0.0.1:51092 127.0.0.1:8091 time_wait tcp 0 0 172.24.248.108:8004 192.168.202.38:32283 established tcp 0 0 172.24.248.108:8004 192.168.202.38:58923 time_wait tcp 0 0 172.24.248.108:8004 192.168.202.32:39983 established tcp 0 0 172.24.248.108:8004 192.168.202.37:38230 established tcp 0 0 172.24.248.108:8004 192.168.202.34:5081 established tcp 0 0 172.24.248.108:8004 192.168.202.32:17240 established tcp 0 0 127.0.0.1:38784 127.0.0.1:12050 time_wait ... active unix domain sockets (w/o servers) proto refcnt flags type state i-node path unix 3 [ ] dgram 18442 /run/systemd/notify unix 2 [ ] dgram 18444 /run/systemd/cgroups-agent unix 2 [ ] dgram 23822 /var/run/chrony/chronyd.sock unix 8 [ ] dgram 18455 /run/systemd/journal/socket unix 18 [ ] dgram 18457 /dev/log unix 2 [ ] dgram 14151 /var/run/nscd/socket unix 2 [ ] dgram 584 /run/systemd/shutdownd unix 3 [ ] stream connected 124439388 /run/dbus/system_bus_socket unix 3 [ ] stream connected 42312 /run/systemd/journal/stdout unix 3 [ ] stream connected 39909
上面的输出包含两个部分:
1、active internet connections 有源tcp连接,其中"recv-q"和"send-q"指接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。
2、active unix domain sockets 有源unix域套接口(和网络套接字一样,但是只能用于本机通信,性能可以提高一倍)。
对于internet connections部分输出参数,做下重点介绍
- proto:表示连接使用的协议,常见的有
tcp
、udp
和tcp6
等; - recv-q:指接收队列,这个数字一般都应该是0,如果不是则表示数据包正在队列中堆积。拿tomcat服务器举个列子:当tcp连接建立后,tomcat服务器中会有一个accepter线程取出这个连接让worker线程处理,现在假如连接建立的速度远远大于accepter线程取连接的速度,那么连接就在队列中堆积,此时recv-q就会大于0;还有一种可能就是系统遭遇到了dos攻击,已经不能再响应外部请求;
- send-q:发送队列,对方没有收到的数据或者说没有ack的,还是本地缓冲区,如果发送队列send-q不能很快的清零,可能是有应用向外发送数据包过快,或者是对方接收数据包不够快;
-
local address:表示本地地址,这个字段一般有三种形式的值:
- 172.24.248.108:8004 : 这种形式的值是最常见的值,表示本机有个ip地址是172.24.248.108,有个程序正在使用本机的8004端口和外部程序建立连接;
- 0.0.0.0:8004 : 这种形式的值看起来比较奇怪,其实其中的0.0.0.0表示的是所有能表示本机的ip地址。我们知道机器是可以配置多块网卡的,比如现在我们的机器配置了两个网卡,其中一块配置的地址是172.24.248.108,另外一块配置的地址是172.24.248.109,那么这边的0.0.0.0就是表示172.24.248.108、172.24.248.109和127.0.0.1这三个ip。
- :::8004 : 其中的::表示全0的ip地址,比如:::* 表示全0的ipv6地址,*表示任意的端口号,全0的含义和0.0.0.0的含义相同。
- foreign address:和本机通信的外部ip地址,显示规则和local address类似,不再赘述了;
state:表示连接状态,常见的连接状态如下:
listen :the socket is listening for incoming connections (侦听来自远方tcp端口的连接请求)
syn_sent:the socket is actively attempting to establish aconnection. (在发送连接请求后等待匹配的连接请求)
syn_recv:a connection request has been received from the network. (在收到和发送一个连接请求后等待对连接请求的确认)
established:the socket has an established connection. (代表一个打开的连接,数据可以传送给用户)
fin_wait1: the socket is closed, and the connection is shutting down. (等待远程tcp的连接中断请求,或先前的连接中断请求的确认 )
close_wait:the remote end has shut down, waiting for the socketto close. (等待从本地用户发来的连接中断请求)
fin_wait2:connection is closed, and the socket is waiting for a shutdownfrom the remote end. (从远程tcp等待连接中断请求 )
last_ack: the remote end has shut down, and the socket is closed. waiting foracknowledgement. (等待原来发向远程tcp的连接中断请求的确认)
time_wait:thesocket is waiting after close to handle packets still in the network (等待足够的时间以确保远程tcp接收到连接中断请求的确认)
closing: bothsockets are shut down but we still don’t have all our datasent. (等待远程tcp对连接中断的确认)
closed:the socket is not being used. (没有任何连接状态 )
unknown:thestate of the socket is unknown。
备注
- syn: (同步序列编号,synchronizesequence numbers)该标志仅在三次握手建立tcp连接时有效。表示一个新的tcp连接请求。
- ack: (确认编号,acknowledgementnumber)是对tcp请求的确认标志,同时提示对端系统已经成功接收所有数据。
- fin: (结束标志,finish)用来结束一个tcp回话.但对应端口仍处于开放状态,准备接收后续数据。
常用netstat命令
1. 列出所有信息
netstat -a # 其中n表示使用ip地址表示机器信息,而不是使用域名 netstat -an
这个命令配合grep
最常使用。
2. 只显示监听端口
netstat -l
3. 显示pid和进程名称
netstat -anp
4. 持续输出状态信息
netstat -anpc
5. 查看连接某服务端口最多的的ip地址(前20个)
netstat -nat | grep "xx.xx.xx.xx:port" |awk '{print $5}'|awk -f: '{print $1}'|sort|uniq -c|sort -nr|head -20
输出
4 192.168.202.38 4 192.168.202.37 4 192.168.202.36 4 192.168.202.35 3 192.168.202.34 3 192.168.202.33 3 192.168.202.32 2 192.168.202.31
参考
- https://blog.csdn.net/dongl890426/article/details/86981901
- https://blog.csdn.net/qq_42014600/article/details/90372315
- https://www.cnblogs.com/ggjucheng/archive/2012/01/08/2316661.html
上一篇: 表达式树练习实践:C# 循环与循环控制
下一篇: PlayJava Day024