netstat命令介绍-要用熟

这篇文章写的不错：

http://www.cnblogs.com/CheeseZH/p/5169498.html

关注Linux的系统状态，主要从两个角度出发，一个角度是系统正在运行什么服务（ps命令）；另外一个就是有什么连接或服务可用（netstat命令）。

netstat还可以显示ps无法显示的、从inetd或xinetd中运行的服务，比如telnet等。

3.常用实例

3.1  列出所有端口

 netstat -a

[root@zhz jiehun]# netstat -a|more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp        0      0 *:sunrpc                    *:*                         LISTEN
tcp        0      0 *:webcache                  *:*                         LISTEN
tcp        0      0 *:http                      *:*                         LISTEN
tcp        0      0 192.168.122.1:domain        *:*                         LISTEN
tcp        0      0 localhost.localdomain:d-s-n *:*                         LISTEN
tcp        0      0 *:ssh                       *:*                         LISTEN
tcp        0      0 localhost.loc:simplifymedia *:*                         LISTEN  

上述显示中, "Proto"是 Protocol 的简称,它可以是 TCP 或 UDP。

"Recv-Q"和"Send-Q"指的是接收队列和发送队列,这些数字一般都应该是 0,如果不是,则表示软件包正在队列中堆积。这种情况只能在非常短的时间内存在,比如在 KMail 中单击检查邮件按钮时,有如下显示是正常现象:

tcp 0 593 192.168.1.5:34321 venus.euao.com:smtp ESTABLISHED

　　如果接收队列持续处于阻塞状态,那么很有可能受到了拒绝式服务的攻击。如果发送队列不能被快速清除,则可能是因为有一个应用程序不能将所要发送的东西传送完。

"Local Address" 指本机的 IP 和端口号。

"Foreign Address"指所要连接的主机名称和服务。

"State"指现在连接的状态。

三种常见的 TCP 状态如下所示:

a) LISTEN 等待接收连接;

b) ESTABLISHED 一个处于活跃状态的连接;

c) TIME_WAIT 一个刚被终止的连接。它只持续 1 至 2 分钟,然后就会变成 LISTEN 状态。

由于 UDP 是无状态的,所以其 State 栏总是空白。

持续获取有用信息

使用"netstat -a"命令,显示结果可能会有数百行。其实,在这些结果中可以忽略所有"Active Unix domain sockets"以后的内容。因为这些内容是本地内部进程之间的通信,而不是网络连接。使用以下命令可以避免显示无用信息:

$ netstat --inet -a

" netstat --inet -a" 命令的显示结果将只有网络连接,包括所有正处在"LISTEN"状态和"ESTABLISHED"状态的。需要特别注意的是,对于普通用户而言,一般不需要使用 telnet 或 SMTP 服务。因此需要将其关闭,以提高系统安全性;并且要重新配置启动文件,以保证它们不会在下次系统启动时自动重新启动。要想持续不断地查看随时都在更改的网络信息,可以使用 netstat 命令的"-c"参数,并且将结果存入文件中:

$ netstat --inet -a -c > netstat.txt

这时,查看 netstat.txt 文件即可检查邮件服务、Web 服务和 telnet 服务等的状态变化。

3.2  列出所有tcp端口

[root@zhz jiehun]# netstat -at|more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp               *:sunrpc                    *:*                         LISTEN
tcp               *:webcache                  *:*                         LISTEN
tcp               *:http                      *:*                         LISTEN
tcp               192.168.122.1:domain        *:*                         LISTEN
tcp               localhost.localdomain:d-s-n *:*                         LISTEN
tcp               *:ssh                       *:*                         LISTEN
tcp               localhost.loc:simplifymedia *:*                         LISTEN  

3.3 列出所有udp端口

netstat -au

3.4 只显示正在处于监听状态的端口 netstat -l

3.8  显示所有端口的统计信息 netstat -s

[root@zhz jiehun]# netstat -s
Ip:
     total packets received
     forwarded
     incoming packets discarded
     incoming packets delivered
     requests sent out
     outgoing packets dropped
     dropped because of missing route
Tcp:
     active connections openings
     passive connection openings
     failed connection attempts
     connection resets received
     connections established
     segments received
     segments send out
     segments retransmited
     bad segments received.
     resets sent
Udp:
     packets received
     packets to unknown port received.
     packet receive errors
     packets sent
     receive buffer errors
     send buffer errors

3.9 显示所有tcp(netstat -st)或udp(netstat -su)的统计信息

3.10 显示pid/进程名称 netstat -p   -p可以与其他参数一起使用 比如 显示tcp的进程id信息

[root@zhz jiehun]# netstat -pt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp               192.168.0.52:          123.150.49.20:http          FIN_WAIT2   /VirtualBox
tcp               192.168.0.52:          ie-in-f125.1e100.net:https  ESTABLISHED /VirtualBox
tcp               192.168.0.52:          geotrust-ocsp-mtv.veri:http FIN_WAIT2   /VirtualBox     

3.11  在 netstat 输出中不显示主机，端口和用户名 (host, port or user)当你不想让主机，端口和用户名显示，使用 netstat -n，将会使用数字代替那些名称，同样可以加速输出，因为不用进行DNS轮询。netstat -ntpl  显示tcp的监听端口 不显示主机端口用户名 用数字代替

3.12  一秒钟输出一次tcp监听端口信息 netstat -ntplc

3.13  显示路由信息 netstat -r

[root@zhz jiehun]# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         vrouter         0.0.0.0         UG                    eth0
192.168.0.0     *               255.255.255.0   U                     eth0
192.168.122.0   *               255.255.255.0   U                     virb

3.14 显示网络接口列表，检查网卡 netstat -i

[root@zhz jiehun]# netstat -i
Kernel Interface table
Iface       MTU Met    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0                                                    BMRU
lo                                                      LRU
virbr0                                                             BMU

在"RX-OK (Received OK)"和"TX-OK (Transmitted OK)"栏应该看到很多数字,而其它地方的数字应该非常小。如果在"RX-ERR"或"TX-ERR"栏看到很多数据,则很有可能是网卡或网线出现了问题。

2.参数含义介绍

-a (all)显示所有选项，默认不显示LISTEN相关（本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请（LISTENING）的那些连接。）
-t (tcp)仅显示tcp相关选项
-u (udp)仅显示udp相关选项
-n 拒绝显示别名，能显示数字的全部转化成数字。
-l 仅列出有在 Listen (监听) 的服務状态

-p 显示建立相关链接的程序名
-r 显示路由信息，路由表（本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外，还显示当前有效的连接。）
-e 显示扩展信息，例如uid等（本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量）。）
-s 按各个协议进行统计（本选项能够按照各个协议分别显示其统计数据。如果我们的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么我们就可以用本选项来查看一下所显示的信息。我们需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。）
-c 每隔一个固定时间，执行该netstat命令。

提示：LISTEN和LISTENING的状态只有用-a或者-l才能看到