Linux 的 netstat
指令可以用來查詢各種網路相關資訊,檢測各種網路相關的問題。
在 Linux 系統中若要檢查網路相關的問題,netstat
是一個很常使用到的指令之一,雖然他只能在本機執行,但是他可以列出非常多很有用的資訊,像 socket、TCP、UDP、IP 與 ethernet 層的各種資訊都可以利用 netstat
來查詢。
netstat
所提供的資訊不夠時,亦可使用 Wireshark、tshark、tcpdump 或 nmap 等檢測工具。
在每個 Linux 系統中預設都會有安裝 netstat
,而且他不需要使用管理者權限即可執行,也同時支援 IPv4 與 IPv6,不過不同的 UNIX/Linux 系統可能在參數上會有一些差異,所以如果您寫好的指令要在不同的系統上執行時,可能要稍微注意一下。
以下是各種 netstat
指令的使用範例與技巧。
列出所有連接埠,包含 listening 與 non listening:
netstat -a
輸出類似這樣:
僅列出 TCP 的連接埠:
netstat -at
僅列出 UDP 的連接埠:
netstat -au
列出所有 listening 狀態的連接埠:
netstat -l
列出所有 listening 狀態的 TCP 連接埠:
netstat -lt
列出所有 listening 狀態的 UDP 連接埠:
netstat -lu
列出各種協定的統計數據:
netstat -s
列出 TCP 的統計數據:
netstat -st
列出 UDP 的統計數據:
netstat -su
如果要顯示應詳細的統計數據,可以再加上 -w
參數:
netstat -sw
加上 -p
這個參數之後,可以顯示每個網路連接埠是被哪一個程式所使用,例如查看所有使用 TCP 連線的程式:
netstat -pt
如果用一般使用者的權限執行 netstat
時,就只能查看屬於自己的行程,若要查看所有的行程,就要使用管理者權限:
sudo netstat -pt
我們可以配合 grep
找出特定程式所使用的連接埠:
netstat -ap | grep ssh
如果您不想要讓 netstat
自動解析 DNS、連接埠名稱與使用者名稱的話,可以加上 -n
參數,這樣可以加速 netstat
的執行速度:
netstat -an
也可以單獨指定不要解析的項目:
netsat -a --numeric-ports netsat -a --numeric-hosts netsat -a --numeric-users
加上 -c
參數之後,可以讓 netstat
每隔一秒輸出一次最新的資訊:
netstat -ct
我們也可以用 watch
達到類似的功能:
watch -n 1 netstat -t
使用 netstat
加上 -r
可以查看目前核心的路由表:
netstat -r
輸出會類似這樣
Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface default 10.0.2.2 0.0.0.0 UG 0 0 0 eth0 10.0.2.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 0 0 0 eth0
這個跟 route
的輸出相同。
顯示系統中每個網路介面的資訊:
netstat -i
Kernel Interface table Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1500 0 500 0 0 0 309 0 0 0 BMRU lo 65536 0 283 0 0 0 283 0 0 0 LRU
顯示較詳細的資訊:
netstat -ie
Kernel Interface table eth0 Link encap:Ethernet HWaddr 08:00:27:e8:47:48 inet addr:10.0.2.15 Bcast:10.0.2.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fee8:4748/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:500 errors:0 dropped:0 overruns:0 frame:0 TX packets:309 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:436569 (436.5 KB) TX bytes:44984 (44.9 KB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:283 errors:0 dropped:0 overruns:0 frame:0 TX packets:283 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:30501 (30.5 KB) TX bytes:30501 (30.5 KB)
這個跟 ifconfig
的輸出相同。
在 的輸出中會將使用中的網路連線標示為
ESTABLISHED
,我們可以藉由 grep
找出這些連線的資訊:
netstat -atnp | grep ESTA
(Not all processes could be identified, non-owned process info will not be shown, you would have to be root to see it all.) tcp 0 0 10.0.2.15:33061 173.194.72.113:80 ESTABLISHED 2266/firefox tcp 0 0 10.0.2.15:55167 54.194.90.130:443 ESTABLISHED 2266/firefox tcp 0 0 10.0.2.15:36853 54.148.186.182:443 ESTABLISHED 2266/firefox tcp 0 0 10.0.2.15:43221 54.230.124.50:80 ESTABLISHED 2266/firefox tcp 0 0 10.0.2.15:59644 91.189.89.240:80 ESTABLISHED 2266/firefox tcp 0 0 10.0.2.15:43378 173.194.72.136:443 ESTABLISHED 2266/firefox tcp 0 0 10.0.2.15:60502 64.233.187.100:443 ESTABLISHED 2266/firefox tcp 0 0 10.0.2.15:60816 54.230.124.50:443 ESTABLISHED 2266/firefox
若要即時監控使用中的連線資訊,可以使用 watch
:
watch -d -n0 "netstat -atnp | grep ESTA"
在預設的狀況下,netstat
會將過長的 URL 位址截斷,保持簡潔的輸出格式,而 -W
可以讓 netstat
列出完整的 URL 位址:
netstat -tup -W
這個指令可以分析 Apache 的連線,列出每個 IP 位址的連線數:
netstat -anpt | grep apache2 | grep ESTABLISHED | awk -F "[ :]*" '{print $4}' | uniq -c
不過這個指令需要管理者權限才能正常使用。
這個指令可以將所有連線的 IP 位址列出來,並依照每個 IP 位址的連線數排序:
netstat -an | grep ESTABLISHED | awk '/^tcp/ {print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr
輸出會像這樣:
2 119.160.254.215 1 98.138.250.102 1 98.138.243.53 1 23.41.139.27 1 124.108.101.11 1 116.214.12.74 1 106.10.170.120
這個指令會用 +
號表示連線數:
netstat -an | grep ESTABLISHED | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | awk '{ printf("%st%st",$2,$1) ; for (i = 0; i < $1; i++) {printf("+")}; print "" }'
輸出會像這樣:
116.214.12.74 1 + 119.160.254.197 1 + 119.160.254.215 2 ++ 119.161.24.16 1 + 124.108.101.11 1 + 203.69.138.155 1 + 23.41.139.27 3 +++ 23.41.141.49 1 + 63.250.200.128 1 + 98.138.243.53 3 +++ 98.138.250.102 1 +
這個指令會計算各種連線狀態的統計:
netstat -ant | awk '{print $6}' | grep -v established) | grep -v Foreign | sort | uniq -c | sort -n
3 CLOSE_WAIT 3 LISTEN 7 ESTABLISHED
這個指令會列出每個使用者所開啓的 listening 行程數:
netstat -ltpe | awk '{print $7}' | grep -v Address | grep -v "^$" | sort | uniq -c | awk '{print $2 ": " $1}'
輸出會像這樣:
gtwang: 1 root: 3
-lx
參數可以列出目前 listening 的 UNIX 連接埠:
netstat -lx
我們可以透過這個方式檢查哪一些服務是只開給本機(localhost
)使用的。
這個指令可以驗證 MySQL 是否是透過 UNIX domain socket 連線:
netstat -lx | grep -i mysql
輸出會像這樣:
unix 2 [ ACC ] STREAM LISTENING 12921 /var/run/mysqld/mysqd.sock
參考資料:The Geek Stuff、Linux User Developer Issue 151、Tecmint、Unixmen