- Dave McKay
@TheGurkha
- februar 17, 2020, 8:00 am EDT
Linux netstat
kommando giver dig en skat-guldgrube af oplysninger om netværksforbindelser, de porte der er i brug, og de processer, der bruger dem. Lær hvordan du bruger det.
Porte, processer og protokoller
netværksstik kan enten tilsluttes eller vente på en forbindelse., Forbindelserne bruger netværksprotokoller som Transport Control Protocol (TCP) eller User Datagram Protocol UDP. De bruger internetprotokoladresser og netværksporte til at etablere forbindelser.
ordet sockets kan fremkalde billeder af et fysisk forbindelsespunkt for en ledning eller et kabel, men i denne sammenhæng er en socket en soft .arekonstruktion, der bruges til at håndtere den ene ende af en netværksdataforbindelse.,
stikkontakter har to hovedtilstande: de er enten tilsluttet og letter en løbende netværkskommunikation, eller de venter på, at en indgående forbindelse skal oprette forbindelse til dem. Staten, når en stikkontakt er midtvejs ved at etablere en forbindelse på en fjernenhed, men ved at lægge forbigående tilstande til side, kan du tænke på en stikkontakt som enten tilsluttet eller venter (som ofte kaldes lytning).
lyttestikket kaldes serveren, og stikket, der anmoder om en forbindelse med lyttestikket, kaldes en klient., Disse navne har intet at gøre med hard .are eller computerroller. De definerer simpelthen rollen for hver stikkontakt i hver ende af forbindelsen.
netstat
kommandoen giver dig mulighed for at finde ud af, hvilke stikkontakter der er tilsluttet, og hvilke stikkontakter der lytter. Det betyder, at det fortæller dig, hvilke porte der er i brug, og hvilke processer der bruger dem. Det kan vise dig routing tabeller og statistikker om dine netværksgrænseflader og multicast-forbindelser.
funktionaliteten afnetstat
er blevet gentaget over tid i forskellige Linu. – værktøjer, såsom ip og ss., Det er stadig værd at vide dette granddaddy af alle netværk analyse kommandoer, fordi den er tilgængelig på alle Linux-og Unix-lignende operativsystemer, og selv på Windows-og Mac.
Sådan bruger du det, komplet med eksempelkommandoer.
liste over alle stikkontakter
-a
(all) gørnetstat
Vis alle de tilsluttede og ventende stikkontakter. Denne kommando kan producere en lang liste, så vi rør den ind i less
.,
netstat -a | less
listen inkluderer TCP (IP), TCP6 (IPv6) og UDP-stik.
omviklingen i terminalvinduet gør det lidt vanskeligt at se, hvad der foregår. Her er et par sektioner fra denne liste:
afsnittet “aktivt Internet” viser de tilsluttede eksterne forbindelser og lokale stikkontakter, der lytter til anmodninger om fjernforbindelse. Det vil sige, det viser de netværksforbindelser, der er (eller vil blive) etableret til eksterne enheder.,
afsnittet “UNI. – domæne” viser de tilsluttede og lyttende interne forbindelser. Med andre ord viser det de forbindelser, der er etableret i din computer mellem forskellige applikationer, processer og elementer i operativsystemet.
kolonnerne “aktiv Internet” er:
- Proto: protokollen, der bruges af denne socket (for eksempel TCP eller UDP).
- Recv-Rec: modtagekøen. Disse er indgående bytes, der er modtaget og buffered, venter på den lokale proces, der bruger denne forbindelse til at læse og forbruge dem.,
- Send-Send: send køen. Dette viser de bytes, der er klar til at blive sendt fra sendekøen.
- Lokal adresse: adresseoplysningerne for den lokale ende af forbindelsen. Standarden er for
netstat
for at vise det lokale værtsnavn for adressen og navnet på Tjenesten for porten. - udenlandsk adresse: adressen og portnummeret på den eksterne ende af forbindelsen.
- stat: tilstanden af den lokale socket. For UDP-stik er dette normalt tomt. Se tilstandstabellen nedenfor.,
for TCP-forbindelser kan tilstandsværdien være en af følgende:
- lyt: kun Server-side. Stikket venter på en forbindelsesanmodning.
- SYN-sendt: kun klientsiden. Denne stikkontakt har fremsat en forbindelsesanmodning og venter på at se, om den vil blive accepteret.
- SYN-modtaget: kun Server-side. Denne stikkontakt venter på en forbindelsesbekræftelse efter at have accepteret en forbindelsesanmodning.
- etableret: Server og klienter. Der er etableret en fungerende forbindelse mellem serveren og klienten, så data kan overføres mellem de to.,
- FIN-vent-1: Server og klienter. Dette stik venter på en anmodning om afslutning af forbindelsen fra fjernstikket eller på en bekræftelse af en anmodning om afslutning af forbindelsen, der tidligere blev sendt fra dette stik.
- FIN-vent-2: Server og klienter. Denne stikkontakt venter på en anmodning om afslutning af forbindelsen fra fjernstikket.luk-vent: Server og klient. Denne stikkontakt venter på en anmodning om afslutning af forbindelsen fra den lokale bruger.
- lukning: Server og klienter., Denne stikkontakt venter på en tilslutning opsigelse anmodning bekræftelse fra den eksterne stikkontakt.
- sidste-Ack: Server og klient. Denne stikkontakt venter på en bekræftelse af den anmodning om afslutning af forbindelsen, den sendte til fjernstikket.
- tid-vent: Server og klienter. Denne stikkontakt sendte en bekræftelse til fjernstikket for at fortælle det, at det modtog fjernstikkets opsigelsesanmodning. Det venter nu på at sikre, at anerkendelse blev modtaget.
- Lukket: der er ingen forbindelse, så stikket er afsluttet.,
kolonnerne “Uni.domain” er:
- Proto: den protokol, der bruges af denne socket. Det vil være ” uni..”
- RefCnt: Referencetælling. Antallet af vedhæftede processer forbundet til denne stikkontakt.
- Flag: Dette er normalt indstillet til
ACC
, som repræsentererSO_ACCEPTON
, hvilket betyder, at stikket venter på en forbindelsesanmodning.SO_WAITDATA
, vist somW
, betyder, at der er data, der venter på at blive læst.,SO_NOSPACE
, vist somN
, betyder, at der ikke er plads til at skrive data til stikket (dvs.sendbufferen er fuld). - Type: socket type. Se typetabellen nedenfor.
- tilstand: tilstanden af stikket. Se tilstandstabellen nedenfor.
- i-Node: filsystemet inode forbundet med denne socket.
- sti: filsystemstien til stikket.
uni. – domænestiktypen kan være en af følgende:
- DGRAM: stikket bruges i datagram-tilstand ved hjælp af meddelelser med fast længde., Datagrammer er hverken garanteret at være pålidelige, sekventeret eller undupliceret.
- STREAM: denne stikkontakt er en strømstik. Dette er den almindelige” normale ” type stikkontakt. Disse stikkontakter er designet til at give pålidelig sekventeret (i rækkefølge) levering af pakker.
- RA.: denne sokkel bruges som en rå sokkel. Ra. – stikkontakter fungerer på netværksniveau for OSI-modellen og henviser ikke til TCP-og UDP-overskrifter fra transportniveauet.
- RDM: dette stik er placeret i den ene ende af en pålideligt leveret meddelelsesforbindelse.,
- se .packet: denne stikkontakt fungerer som en sekventiel pakkestik, hvilket er et andet middel til at levere pålidelig, sekventeret og uduplikeret pakkelevering.
- pakke: Ra.interface adgang socket. Packet sockets bruges til at modtage eller sende ra. – pakker på enhedsdriveren (dvs. data link layer) niveau af OSI-modellen.
uni.domain socket state kan være en af følgende:
- gratis: denne socket er ikke allokeret.lytning: denne stikkontakt lytter til anmodninger om indgående forbindelse.,
- tilslutning: denne stikkontakt er i færd med at forbinde.
- tilsluttet: der er oprettet en forbindelse, og stikket er i stand til at modtage og transmittere data.
- frakobling: forbindelsen er ved at blive afsluttet.
Wowo,, det er meget information! Mange afnetstat
indstillinger forfiner resultaterne på en eller anden måde, men de ændrer ikke indholdet for meget. Lad os se.,
liste over stikkontakter efter Type
kommandoennetstat -a
kan give flere oplysninger, end du har brug for at se. Hvis du kun ønsker eller har brug for at se TCP-stikkene, kan du bruge -t
(TCP) til at begrænse displayet til kun at vise TCP-stik.
netstat -at | less
displayet ud er stærkt reduceret. De få stikkontakter, der er angivet, er alle TCP-stik.,
-u
(UDP) og -x
(UNIX) valg opfører sig på samme måde, som begrænser resultaterne til den type socket, der er angivet på kommandolinjen. Her er indstillingen-u (UDP) i brug:
netstat -au | less
kun UDP-stik er angivet.
Listing Sockets by State
for at se de sockets, der er i Lytte-eller ventetilstand, skal du bruge indstillingen -l
(listening).
netstat -l | less
de stikkontakter, der er angivet, er dem, der er i lyttetilstand.,
dette kan kombineres med-T (TCP, -u (UDP) og -. (UNI.) muligheder for yderligere hjem i på sockets af interesse. Lad os kigge efter lyttende TCP-stik:
netstat -lt | less
nu ser vi kun TCP-lyttestik.
netværksstatistik efter protokol
netstat -st | less
en samling statistikker for TCP-forbindelserne vises iless
.
viser procesnavne og PID ‘ er
det kan være nyttigt at se proces-ID (PID) for processen ved hjælp af en socket sammen med navnet på den proces., Indstillingen -p
(program) gør netop det. Lad os se, hvad PID ‘ erne og procesnavne er for processerne ved hjælp af en TCP-stik, der er i lyttetilstand. Vi bruger sudo
for at sikre, at vi modtager alle de tilgængelige oplysninger, herunder alle oplysninger, der normalt kræver root-tilladelser.
sudo netstat -p -at
Her er det output i en formateret tabel:
Vi har en ekstra kolonne kaldet “pid / programnavn.”Denne kolonne viser PID og navn på processen ved hjælp af hver af stikkene.,
Oversigt Numeriske Adresser
Endnu et skridt vi kan tage for at fjerne en vis tvetydighed er at vise de lokale og eksterne adresser som IP-adresser i stedet for deres løses domæne-og hostnavne. Hvis vi bruger indstillingen -n
(numerisk), vises IPv4-adresserne i prikket decimalformat:
sudo netstat -an | less
IP-adresserne vises som numeriske værdier. Portnumrene vises også, adskilt af et kolon ” :
” fra IP-adressen.
en IP-adresse på 127.0.0.,1 viser, at stikket er bundet til loopback-adressen på den lokale computer. Du kan tænke på en IP-adresse på 0.0.0.0 som betyder ” standardrute “for lokale adresser og” enhver IP-adresse ” for udenlandske adresser. IPv6-adresser vist som “::
” er også alle nul-adresser.
de porte, der er angivet, kan let kontrolleres for at se, hvad deres sædvanlige formål er:
- 22: dette er Secure Shell (SSH) lytteporten.
- 25: dette den Simple Mail Transfer Protocol (SMTP) lytteport.53: dette er Domain Name System (DNS) lytteport.,68: dette er DHCP-lytteporten Dynamic Host Configuration Protocol (Dynamic Host Configuration Protocol).
- 631: dette er den fælles UNI.Printing System (CUPS) lytteport.RELATERET: Hvad er forskellen mellem 127.0.0.1 og 0.0.0.0?
visning af routingtabellen
-r
(rute) viser kernel routingtabellen.,sudo netstat -r
Her er, at produktionen i en pæn tabel:
Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface default Vigor.router 0.0.0.0 UG 0 0 0 enp0s3 link-local 0.0.0.0 255.255.0.0 U 0 0 0 enp0s3 192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s3
Og, her er, hvad de kolonner, der betyder:
- Destination: destination netværk eller destination host enhed (hvis den destination, der er ikke et netværk).
- Gateway: gateway-adressen. En stjerne ”
*
” vises her, hvis en gate .ay-adresse ikke er indstillet. - Genmask: undernetmasken til ruten.
- flag: se flag tabellen nedenfor.,
- MSS: standard maksimal Segmentstørrelse for TCP—forbindelser over denne rute-dette er den største mængde data, der kan modtages i et TCP-segment.
- vindue: standardvinduestørrelsen for TCP-forbindelser over denne rute, der angiver antallet af pakker, der kan overføres og modtages, før den modtagende buffer er fuld. I praksis forbruges pakkerne af den modtagende ansøgning.
- irtt: den oprindelige rundtur tid. Denne værdi refereres af kernen til at foretage dynamiske justeringer af TCP-parametre for fjernforbindelser, der er langsomme til at reagere.,
- Iface: netværksgrænsefladen, hvorfra pakkerne, der sendes over denne rute, overføres.
flagværdien kan være en af:
- U: ruten er op.
- h: Target er en vært og den eneste mulige destination på denne rute.
- G: brug Gate .ayen.
- R: genindfør ruten til dynamisk routing.
- D: dynamisk installeret af routing dæmonen.
- M: ændret af routing-dæmonen, da den modtog en ICMP-pakke (Internet Control Message Protocol).,
- A: installeret af
addrconf
, den automatiserede DNS – og DHCP-konfigurationsfilgenerator. - C: cache post.
- !: Afvis rute.
Find den Port, der Bruges af en Proces
Hvis vi pipe output af
netstat
igrep
, kan vi søge efter en proces ved navn og identificere den port, den anvender. Vi bruger-a
(alle),-n
(numerisk) og-p
(program) valg brugt tidligere, og søg efter “sshd.,”sudo netstat -anp | grep "sshd"
Reklamegrep
finder målet streng, og vi kan se, atsshd
dæmon er ved hjælp af port 22.selvfølgelig kan vi også gøre dette omvendt. Hvis vi søger efter “:22”, kan vi finde ud af, hvilken proces der bruger denne port, hvis nogen.
sudo netstat -anp | grep ":22"
Denne gang
grep
finder “:22” target streng, og vi kan se, at processen, der bruger denne port ersshd
dæmon, proces-ID 751.,Angiv Netværksgrænsefladerne
-i
(interfaces) – indstillingen viser en tabel over de netværksgrænseflader, somnetstat
kan opdage.sudo netstat -i
Her er produktionen i en mere læselig mode:
Kernel Interface table Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg enp0s3 1500 4520671 0 0 0 4779773 0 0 0 BMRU lo 65536 30175 0 0 0 30175 0 0 0 LRU
Dette er hvad de kolonner, der betyder:
- Iface: navnet på interfacet.
enp0s3
interface er netværksgrænsefladen til omverdenen, oglo
interface er loopback-grænsefladen., Loopback-grænsefladen gør det muligt for processer at kommunikere i computeren ved hjælp af netværksprotokoller, selvom computeren ikke er tilsluttet et netværk. - MTU: den maksimale transmissionsenhed (MTU). Dette er den største “pakke”, der kan sendes. Den består af en header, der indeholder routing og protokol flag, og andre metadata, plus de data, der rent faktisk bliver transporteret.
- r. – OK: antallet af modtagne pakker uden fejl.
- r.-ERR: antallet af modtagne pakker med fejl. Vi ønsker, at dette skal være så lavt som muligt.,
- r. – DRP: antallet af pakker faldt (dvs. tabt). Vi ønsker også, at dette skal være så lavt som muligt.
- r.-OVR: antal pakker tabt på grund af overløb ved modtagelse. Dette betyder normalt, at den modtagende buffer var fuld og ikke kunne acceptere flere data, men flere data blev modtaget og måtte kasseres. Jo lavere dette tal, jo bedre, og nul er perfekt.
- t.-OK: antallet af pakker, der sendes, uden fejl.
- r.-ERR: antallet af pakker, der sendes, med fejl. Vi ønsker, at dette skal være nul.,
- r.-DRP: antallet af pakker faldt ved transmission. Ideelt set bør dette være nul.
- r.-OVR: antallet af pakker tabt på grund af overløb ved transmission. Dette betyder normalt, at sendbufferen var fuld og ikke kunne acceptere flere data, men flere data var klar til at blive transmitteret og måtte kasseres.
- Flg: flag. Se flag tabellen nedenfor.
flagene repræsenterer følgende:
liste Multicast-Gruppemedlemskaber
kort sagt gør en multicast-transmission det muligt kun at sende en pakke regardlessn gang, uanset antallet af modtagere., For tjenester som videostreaming øger dette for eksempel effektiviteten fra afsenderens synspunkt med en enorm mængde.
annonceindstillingen
-g
(grupper) gørnetstat
Angiv multicast-gruppemedlemskabet af stikkontakter på hver grænseflade.sudo netstat -g
kolonnerne er ganske enkle:
- Interface: navnet på den grænseflade, som stikket sender over.RefCnt: referencetællingen, som er antallet af processer, der er fastgjort til stikket.,
- gruppe: navnet eller identifikatoren for multicast-gruppen.
De nye børn på blokken
kommandoerne rute, ip, ifconfig og ss kan give meget af, hvad
netstat
er i stand til at vise dig. De er alle gode kommandoer og værd at tjekke ud.Vi har fokuseret på
netstat
fordi det er universelt tilgængeligt, uanset hvilket Uni.-lignende operativsystem du arbejder på, selv de uklare.,Dave McKay
Dave McKay brugte først computere, da stanset papirbånd var på mode, og han har programmeret lige siden. Efter over 30 år i IT-branchen er han nu en fuldtids teknologijournalist. I løbet af sin karriere har han arbejdet som freelance-programmør, leder af et internationalt soft .areudviklingsteam, en projektleder for IT-tjenester og senest som databeskyttelsesansvarlig. Dave er en Linu.evangelist og open source fortaler.Læs hele Bio ”