技术书栈技术书栈

  1. 技术书栈首页
  2. 文章列表
  3. 技术文章第 202508 期

Linux命令使用详解之netstat

文档大纲

Linux命令使用详解之netstat

netstat作为一款在Linux及其他类Unix操作系统中应用极为广泛的网络命令行工具,拥有强大且丰富的功能。它能够全面展示网络连接、路由表、接口统计数据、伪装连接以及多播成员资格等关键信息,为系统管理员和网络工程师深入了解网络状态提供有力支持。在本文中,我们将深入且详细地探讨netstat命令的各种用法与选项,并通过实际案例,直观地说明如何借助该工具高效解决实际网络问题。

1. netstat基本功能

netstat的核心功能十分多元,具体涵盖以下方面:

  • 查看网络连接:无论是处于监听状态,等待接收网络请求的连接,还是已经成功建立,正在进行数据传输的连接,netstat都能将系统中所有的网络连接完整地展示出来。
  • 连接信息明细:针对每一个网络连接,netstat会精准给出其详细信息,其中包含所使用的协议类型,如TCP、UDP等;本地设备的IP地址及端口号;与之通信的外部设备的IP地址和端口号;以及连接当前所处的状态,比如ESTABLISHED(已建立)、LISTEN(监听)等。
  • 查看路由表:通过显示路由表,netstat帮助用户深入理解数据包在复杂网络环境中的流动路径,了解数据如何从本地设备出发,经过各个网络节点,最终抵达目标设备。
  • 接口统计数据netstat能够展示网络接口的关键统计数据,像已成功传输的数据包数量、传输过程中出现错误的数据包数量,以及因各种原因被丢弃的数据包数量等,这些数据对于评估网络接口的健康状况和性能表现至关重要。
  • 提供多播与伪装信息:它还会提供多播组成员资格的相关信息,帮助用户了解哪些设备参与了多播通信;同时,对于伪装连接,netstat也能给出相应的信息,满足用户在特殊网络场景下的需求 。

2. netstat 基本用法

使用 netstat 命令进行网络状态分析时,其基本语法为:

netstat [options]

通过灵活组合选项,netstat 可以提供丰富而有价值的网络信息。以下是一些常用选项,了解它们有助于更有效地使用 netstat 命令:

  • -a 选项:显示系统中所有的网络连接,包括处于监听状态和已经建立的数据交互连接,提供系统网络连接的全面视图。
  • -t 选项:筛选并仅显示基于 TCP 协议的连接,便于关注 TCP 连接的建立和数据传输状态。
  • -u 选项:与 -t 相对应,专门显示 UDP 协议的连接,适用于查看 UDP 连接的状态和信息。
  • -l 选项:显示当前系统中所有处于监听状态的套接字,帮助了解系统的待连接端口情况。
  • -n 选项:以数字形式显示地址和端口号,避免服务名称解析,提高命令执行效率。
  • -p 选项:提供每个连接对应的进程 ID(PID)和程序名称,方便识别网络连接与进程的关联。
  • -r 选项:显示内核路由表,帮助分析数据包的转发路径和路由设置的合理性。
  • -i 选项:展示网络接口的统计信息,包括数据包数量和错误数据,评估接口性能和健康状况。
  • -s 选项:详细展示每个网络协议(如 TCP、UDP、ICMP)的统计信息,帮助全面了解协议的运行状况。

3. netstat使用示例

3.1 显示所有连接

要查看系统上的所有网络连接,包括监听和非监听的,可以使用:

netstat -a

af451f2854af1130bbab4ee9bfe11599.webp

这将列出所有活动的网络连接,显示的信息包括协议类型(TCP/UDP)、本地地址、外部地址和连接状态(如ESTABLISHED、LISTEN等)。

3.2 仅显示TCP连接

如果你只关心TCP连接,可以使用:

netstat -at

b3bdf992a6b5b14412e6d6bcead4ad1b.webp

这将过滤出所有TCP连接,让你专注于这类连接的状态和详情。

3.3 仅显示UDP连接

同样地,如果你只对UDP连接感兴趣,可以使用:

netstat -au

d9d4d984e2a13c355abe9860c1c8b6cc.webp

这将仅列出UDP连接。

3.4 查看监听端口

查看系统上所有正在监听的端口,可以使用:

netstat -l

2ccfd0a4b747670000283be4d7ea8f10.webp

这对于检查哪些服务正在等待传入连接非常有用。

3.5 数字化显示地址和端口

默认情况下,netstat尝试将IP地址和端口号解析为主机名和服务名称。为了加快输出并避免DNS解析延迟,可以使用-n选项:

netstat -an

bbf04eba6aa3e61ff5779c29070aa944.webp

3.6 显示进程信息

要查看哪个进程正在使用特定的网络连接,可以使用-p选项:

netstat -lt

这将显示每个连接的进程ID(PID)和程序名称,但需要以超级用户权限运行。

3.7 查看路由表

要查看系统的路由表,可以使用:

netstat -r

这将显示路由信息,包括目的地、网关、接口和路由标志。

24081a6b5bd7a45378cd1846e609b549.webp

3.8 查看网络接口统计信息

要获取每个网络接口的详细统计信息,可以使用:

netstat -i

这对于诊断网络接口的问题非常有用。

3.9 查看协议统计信息

要查看每个协议(如TCP、UDP、ICMP等)的统计信息,可以使用:

netstat -s

这将提供有关每个协议的数据包传输、丢失和错误的详细信息。

4. netstat 应用场景

4.1 网络故障排除

  • 服务可用性检查:当用户无法访问某个服务时,可以使用 netstat -l 查看相应服务端口是否在监听。例如,Web 服务通常运行在 80(HTTP)或 443(HTTPS)端口。执行 netstat -ln | grep :80 后如果没有输出,可能意味着 Web 服务未启动或端口被占用,导致服务无法正常监听。

  • 路由路径验证:在跨网段访问失败的情况下,netstat -r 可以帮助检查路由表。例如,当子网 A 的主机无法访问子网 B 的服务器时,查看路由表可以明确数据包的路由路径。如果缺少通往目标子网的路由条目或存在错误路由,可以进行修正以确保数据包按预期路径传输。

  • 连接状态排查:当网络连接出现异常(如速度慢、频繁中断)时,netstat -a 可以查看所有连接及其状态,包括本地和远程地址、连接状态等。这有助于判断连接是否正常,并识别可能导致问题的半开连接或长时间等待的连接。

4.2 安全监控

  • 恶意连接识别:安全人员可以通过 netstat -an 查看所有活动连接,将外部 IP 地址与恶意 IP 列表对比。如果连接到已知恶意 IP,可能表明系统遭受攻击或有恶意软件通信。此时需进一步调查,并采取隔离和清除措施。

  • 进程与端口关联分析:使用 netstat -p 可以查看每个连接的端口号及其对应的进程 ID 和程序名称。如果发现异常进程监听非标准端口,可能是恶意软件运行。进一步分析进程信息,有助于判断其合法性,并采取措施如终止进程或删除相关文件。

  • 异常连接行为监测:分析 netstat 输出的连接信息,观察连接频率和持续时间。如果某 IP 在短时间内频繁建立大量连接,或长时间保持活跃但流量异常小,可能存在安全威胁,需要深入调查。

4.3 性能分析

  • 协议性能评估netstat -s 提供各协议的详细统计信息,包括数据包发送、接收数量及错误统计。通过分析这些信息,可以识别网络问题,如 TCP 重传次数增加或 UDP 丢包率过高,进而优化网络配置。

  • 接口性能监测:使用 netstat -i 查看网络接口统计信息,如数据包数量和错误包数量。若某接口错误数据包增加或丢包率异常高,可能存在硬件故障或受到攻击。可采取措施如更换网线、修复驱动、部署防火墙等。

  • 流量趋势分析:定期使用 netstat -i 记录流量数据并分析趋势,帮助预测网络流量增长,做好资源规划。如流量持续增长接近带宽上限,需考虑升级带宽或优化流量使用,防止因拥塞导致性能下降。同时,异常流量的识别有助于及时处理潜在问题。

以下是补充了更多netstat替代工具的内容:

5. netstat的替代工具

尽管netstat是一个非常有用的工具,但在某些现代系统中,它有一些替代工具,这些工具在功能、性能等方面各有特点,能够满足用户不同的需求。具体介绍如下:

  • ss:提供类似于netstat的功能,但速度更快,能够提供更多的TCP状态信息,比如更详细的TCP连接状态,如TCP的拥塞控制状态等。它还能更好地处理大规模连接的情况,在系统连接数较多时,相比netstat能更高效地获取连接信息。
  • ip:用于显示和操作路由、网络设备、接口、隧道和其他对象。除了基本的显示功能外,还能方便地进行网络配置,例如添加、删除路由,配置网络接口的IP地址、掩码等参数,比netstat在网络配置方面更具优势。
  • lsof:主要用于列出当前系统打开的文件,由于网络连接本质上也是一种文件描述符,所以它也能用于查看网络连接相关信息。与netstat不同的是,lsof更侧重于从进程的角度出发,能清晰地展示哪个进程打开了哪些网络连接,方便用户快速定位与网络连接相关的进程,对于排查因进程异常导致的网络问题很有帮助。
  • nmap:虽然它主要是一个网络扫描工具,但也可以用来获取网络连接和端口状态等信息。它能够对指定的主机或网络进行全面的端口扫描,检测哪些端口是开放的、哪些是关闭的,还能识别端口上运行的服务及版本信息等,在网络安全评估和发现网络服务方面比netstat功能更强大。
  • tcpdump:是一个强大的网络数据包分析工具,它可以在网络接口上监听和捕获网络数据包,并提供详细的数据包信息,如源IP、目的IP、端口号、协议类型等。与netstat侧重于显示连接状态不同,tcpdump更专注于分析网络数据包的内容和流向,常用于深入分析网络通信细节,排查网络故障中的数据传输问题。

6. 总结

netstat堪称一款极为强大的网络工具,在复杂多样的网络环境中,于网络故障排除、安全监控以及性能分析等关键领域,均发挥着举足轻重的作用。凭借其丰富且实用的功能,能够协助系统管理员和网络工程师深入洞察网络运行状况。

熟练掌握netstat的各类选项和用法,就如同拥有了一把开启网络管理大门的钥匙,能够让我们更精准、高效地理解和管理Linux系统的网络活动。无论是检查当前系统中错综复杂的网络连接,深入剖析路由表以确保数据包的合理传输路径,还是细致查看网络接口的各项统计信息,从而评估网络性能与健康状态,netstat都能成为我们可靠的得力助手,助力我们在网络管理工作中应对自如,保障网络的稳定、安全与高效运行 。

文章来源: https://study.disign.me/article/202508/17.linux-netstat.md

发布时间: 2025-02-21

作者: 技术书栈编辑

上一页:Linux 下 sudo 命令的深层原理以及用法剖析
下一页:深度剖析HTTP2原理以及 Golang 实战

@技术书栈 Powered by gin and hexo-theme-book.