Linux【7】-连接网络-4-4-socket 统计信息(ss)
ss 是 Socket Statistics 的缩写。ss 命令可以用来获取 socket 统计信息,它显示的内容和 netstat 类似。但 ss 的优势在于它能够显示更多更详细的有关 TCP 和连接状态的信息,而且比 netstat 更快。当服务器的 socket 连接数量变得非常大时,无论是使用 netstat 命令还是直接 cat /proc/net/tcp,执行速度都会很慢。ss 命令利用到了 TCP 协议栈中 tcp_diag。tcp_diag 是一个用于分析统计的模块,可以获得 Linux 内核中第一手的信息,因此 ss 命令的性能会好很多。
我所用到的案例:
ss -tluwn |grep 27008
一、常用选项
-h, --help 帮助
-V, --version 显示版本号
-t, --tcp 显示 TCP 协议的 sockets
-u, --udp 显示 UDP 协议的 sockets
-x, --unix 显示 unix domain sockets,与 -f 选项相同
-n, --numeric 不解析服务的名称,如 "22" 端口不会显示成 "ssh"
-l, --listening 只显示处于监听状态的端口
-p, --processes 显示监听端口的进程(Ubuntu 上需要 sudo)
-a, --all 对 TCP 协议来说,既包含监听的端口,也包含建立的连接
-r, --resolve 把 IP 解释为域名,把端口号解释为协议名称
二、常见用例
如果不添加选项 ss 命令默认输出所有建立的连接(不包含监听的端口),包括 tcp, udp, and unix socket 三种类型的连接:
[root@sam ~]# ss |head -n 5
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
u_str ESTAB 0 0 * 17962150 * 17962149
u_str ESTAB 0 0 * 17962123 * 17962124
u_str ESTAB 0 0 * 17953554 * 17953555
u_str ESTAB 0 0 * 17962158 * 17962159
2.1 查看主机监听的端口
[root@sam ~]# ss -tnl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:80 *:*
LISTEN 0 100 *:465 *:*
LISTEN 0 128 *:22 *:*
LISTEN 0 128 *:23 *:*
2.2 通过 -r 选项解析 IP 和端口号
[root@sam ~]# ss -tlr
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:http *:*
LISTEN 0 100 *:urd *:*
LISTEN 0 128 *:ssh *:*
LISTEN 0 128 *:telnet *:*
LISTEN 0 128 *:postgres *:*
LISTEN 0 100 *:smtp *:*
LISTEN 0 128 *:https *:*
LISTEN 0 128 *:newacct *:*
LISTEN 0 128 sam:cslistener *:*
2.3 使用 -p 选项查看监听端口的程序名称
[root@sam ~]# ss -tlp
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:http *:* users:(("nginx",pid=22294,fd=9),("nginx",pid=22293,fd=9))
LISTEN 0 100 *:urd *:* users:(("master",pid=12223,fd=18))
LISTEN 0 128 *:ssh *:* users:(("sshd",pid=1085,fd=3))
LISTEN 0 128 *:telnet *:* users:(("systemd",pid=1,fd=31))
LISTEN 0 128 *:postgres *:*
最后一列就是运行的程序名称。还可以通过 grep 继续过滤:
ss -tlp | grep ssh
2.4 查看建立的 TCP 连接
-a –all 对 TCP 协议来说,既包含监听的端口,也包含建立的连接
[root@sam ~]# ss -tna
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:80 *:*
LISTEN 0 100 *:465 *:*
LISTEN 0 128 *:22 *:*
LISTEN 0 128 *:23 *:*
LISTEN 0 128 *:5432 *:*
LISTEN 0 100 *:25 *:*
LISTEN 0 128 *:443 *:*
LISTEN 0 128 *:100 *:*
LISTEN 0 128 127.0.0.1:9000 *:*
LISTEN 0 50 *:3306 *:*
CLOSE-WAIT 391 0 172.,,.171:53132 106.1,,,13:80
ESTAB 0 0 172.1,,171:39962 100.,,,.25:80
显示更多的信息
-o, --options 显示时间信息
-m, --memory 显示 socket 使用的内存
-i, --info 显示更多 TCP 内部的信息
2.5 显示概要信息
[root@sam ~]# ss -s
Total: 239 (kernel 308)
TCP: 27 (estab 5, closed 2, orphaned 0, synrecv 0, timewait 2/0), ports 0
Transport Total IP IPv6
* 308 - -
RAW 0 0 0
UDP 5 4 1
TCP 25 15 10
INET 30 19 11
FRAG 0 0
2.6 dst/src dport/sport 语法
可以通过 dst/src/dport/sprot 语法来过滤连接的来源和目标,来源端口和目标端口。
匹配远程地址和端口号
$ ss dst 192.168.1.5
$ ss dst 192.168.119.113:http
$ ss dst 192.168.119.113:443
匹配本地地址和端口号
$ ss src 192.168.119.103
$ ss src 192.168.119.103:http
$ ss src 192.168.119.103:80
将本地或者远程端口和一个数比较
可以使用下面的语法做端口号的过滤:
$ ss dport OP PORT
$ ss sport OP PORT
OP 可以代表以下任意一个:
<= le 小于或等于某个端口号
>= ge 大于或等于某个端口号
== eq 等于某个端口号
!= ne 不等于某个端口号
> gt 大于某个端口号
< lt 小于某个端口号
下面是一个简单的 demo(注意,需要对尖括号使用转义符):
$ ss -tunl sport lt 50
$ ss -tunl sport \< 50
2.7 通过 TCP 的状态进行过滤
ss 命令还可以通过 TCP 连接的状态进程过滤,支持的 TCP 协议中的状态有:
established
syn-sent
syn-recv
fin-wait-1
fin-wait-2
time-wait
closed
close-wait
last-ack
listening
closing
除了上面的 TCP 状态,还可以使用下面这些状态:
| all | 列出所有的 TCP 状态。 |
|---|---|
| connected | 列出除了 listening 和 closing 之外的所有 TCP 状态。 |
| synchronized | 列出除了 syn-sent 之外的所有 TCP 状态。 |
| bucket | 列出 maintained 的状态,如:time-wait 和 syn-recv。 |
| big | 列出和 bucket 相反的状态。 |
使用 ipv4 时的过滤语法如下:
$ ss -4 state filter
使用 ipv6 时的过滤语法如下:
$ ss -6 state filter
下面是一个简单的例子:
$ ss -4 state listening
2.8 同时过滤 TCP 的状态和端口号
(注意下面命令中的转义符和空格,都是必须的。如果不用转义符,可以使用单引号) 下面的命令显示所有状态为 established 的 ssh 连接:
$ ss -4n state listening
下面的两种写法是等价的,要有使用 \ 转义小括号,要么使用单引号括起来:
$ ss -4n state listening \( dport = :ssh \)
$ ss -4n state listening '( dport = :ssh )'
只是最后的结果稍微让人有些意外,不仅显示了监听的端口,也显示了通过 22 端口建立的连接。
下面我们显示所有状态为 Established 的 HTTP 连接:
$ ss state established '( sport = :http or dport = :http )'
下面的命令列出所有连接到 22 端口的连接和对 22 端口的监听:
$ ss state all dport = :22
下面是一个来自 ss man page 的例子,它列举出处于 FIN-WAIT-1状态的源端口为 80 或者 443,目标网络为 193.233.7/24 所有 TCP 套接字:
$ ss state fin-wait-1 '( sport = :http or sport = :https )' dst 193.233.7/24
2.9 总结
由于性能出色且功能丰富,ss 命令可以用来替代 netsate 命令成为我们日常查看 socket 相关信息的利器。其实抛弃 netstate 命令已经是大势所趋,有的 Linux 版本默认已经不再内置 netstate 而是内置了 ss 命令。
参考资料
