Linux【7】-连接网络-4-4-socket 统计信息(ss)

ss 是 Socket Statistics 的缩写。ss 命令可以用来获取 socket 统计信息,它显示的内容和 netstat 类似。但 ss 的优势在于它能够显示更多更详细的有关 TCP 和连接状态的信息,而且比 netstat 更快。当服务器的 socket 连接数量变得非常大时,无论是使用 netstat 命令还是直接 cat /proc/net/tcp,执行速度都会很慢。ss 命令利用到了 TCP 协议栈中 tcp_diag。tcp_diag 是一个用于分析统计的模块,可以获得 Linux 内核中第一手的信息,因此 ss 命令的性能会好很多。

我所用到的案例:

ss -tluwn |grep 27008

一、常用选项

-h, --help 帮助
-V, --version  显示版本号
-t, --tcp 显示 TCP 协议的 sockets
-u, --udp 显示 UDP 协议的 sockets
-x, --unix 显示 unix domain sockets,与 -f 选项相同
-n, --numeric 不解析服务的名称,如 "22" 端口不会显示成 "ssh"
-l, --listening 只显示处于监听状态的端口
-p, --processes 显示监听端口的进程(Ubuntu 上需要 sudo)
-a, --all 对 TCP 协议来说,既包含监听的端口,也包含建立的连接
-r, --resolve 把 IP 解释为域名,把端口号解释为协议名称

二、常见用例

如果不添加选项 ss 命令默认输出所有建立的连接(不包含监听的端口),包括 tcp, udp, and unix socket 三种类型的连接:

[root@sam ~]# ss |head -n 5
Netid  State      Recv-Q Send-Q Local Address:Port                 Peer Address:Port                
u_str  ESTAB      0      0       * 17962150              * 17962149             
u_str  ESTAB      0      0       * 17962123              * 17962124             
u_str  ESTAB      0      0       * 17953554              * 17953555             
u_str  ESTAB      0      0       * 17962158              * 17962159 

2.1 查看主机监听的端口

[root@sam ~]# ss -tnl
State       Recv-Q Send-Q                                             Local Address:Port                                                            Peer Address:Port              
LISTEN      0      128                                                            *:80                                                                         *:*                  
LISTEN      0      100                                                            *:465                                                                        *:*                  
LISTEN      0      128                                                            *:22                                                                         *:*                  
LISTEN      0      128                                                            *:23                                                                         *:*  

2.2 通过 -r 选项解析 IP 和端口号

[root@sam ~]# ss -tlr
State       Recv-Q Send-Q                                           Local Address:Port                                                            Peer Address:Port                
LISTEN      0      128                                                          *:http                                                                       *:*                    
LISTEN      0      100                                                          *:urd                                                                        *:*                    
LISTEN      0      128                                                          *:ssh                                                                        *:*                    
LISTEN      0      128                                                          *:telnet                                                                     *:*                    
LISTEN      0      128                                                          *:postgres                                                                   *:*                    
LISTEN      0      100                                                          *:smtp                                                                       *:*                    
LISTEN      0      128                                                          *:https                                                                      *:*                    
LISTEN      0      128                                                          *:newacct                                                                    *:*                    
LISTEN      0      128                                                        sam:cslistener                                                                 *:* 

2.3 使用 -p 选项查看监听端口的程序名称

[root@sam ~]# ss -tlp
State       Recv-Q Send-Q                                           Local Address:Port                                                            Peer Address:Port                
LISTEN      0      128                                                          *:http                                                                       *:*                     users:(("nginx",pid=22294,fd=9),("nginx",pid=22293,fd=9))
LISTEN      0      100                                                          *:urd                                                                        *:*                     users:(("master",pid=12223,fd=18))
LISTEN      0      128                                                          *:ssh                                                                        *:*                     users:(("sshd",pid=1085,fd=3))
LISTEN      0      128                                                          *:telnet                                                                     *:*                     users:(("systemd",pid=1,fd=31))
LISTEN      0      128                                                          *:postgres                                                                   *:*       

最后一列就是运行的程序名称。还可以通过 grep 继续过滤:

ss -tlp | grep ssh

2.4 查看建立的 TCP 连接

-a –all 对 TCP 协议来说,既包含监听的端口,也包含建立的连接

[root@sam ~]# ss -tna
State       Recv-Q Send-Q                                             Local Address:Port                                                            Peer Address:Port              
LISTEN      0      128                                                            *:80                                                                         *:*                  
LISTEN      0      100                                                            *:465                                                                        *:*                  
LISTEN      0      128                                                            *:22                                                                         *:*                  
LISTEN      0      128                                                            *:23                                                                         *:*                  
LISTEN      0      128                                                            *:5432                                                                       *:*                  
LISTEN      0      100                                                            *:25                                                                         *:*                  
LISTEN      0      128                                                            *:443                                                                        *:*                  
LISTEN      0      128                                                            *:100                                                                        *:*                  
LISTEN      0      128                                                    127.0.0.1:9000                                                                       *:*                  
LISTEN      0      50                                                             *:3306                                                                       *:*                  
CLOSE-WAIT  391    0                                                 172.,,.171:53132                                                           106.1,,,13:80                 
ESTAB       0      0                                                 172.1,,171:39962                                                          100.,,,.25:80

显示更多的信息

-o, --options 显示时间信息
-m, --memory 显示 socket 使用的内存
-i, --info 显示更多 TCP 内部的信息

2.5 显示概要信息

[root@sam ~]#  ss -s
Total: 239 (kernel 308)
TCP:   27 (estab 5, closed 2, orphaned 0, synrecv 0, timewait 2/0), ports 0

Transport Total     IP        IPv6
*     308       -         -        
RAW   0         0         0        
UDP   5         4         1        
TCP   25        15        10       
INET      30        19        11       
FRAG      0         0         

2.6 dst/src dport/sport 语法

可以通过 dst/src/dport/sprot 语法来过滤连接的来源和目标,来源端口和目标端口。

匹配远程地址和端口号

$ ss dst 192.168.1.5
$ ss dst 192.168.119.113:http
$ ss dst 192.168.119.113:443

匹配本地地址和端口号

$ ss src 192.168.119.103
$ ss src 192.168.119.103:http
$ ss src 192.168.119.103:80

将本地或者远程端口和一个数比较

可以使用下面的语法做端口号的过滤:

$ ss dport OP PORT
$ ss sport OP PORT

OP 可以代表以下任意一个:

<=  le  小于或等于某个端口号
>=  ge  大于或等于某个端口号
==  eq  等于某个端口号
!=  ne  不等于某个端口号
>   gt  大于某个端口号
<   lt  小于某个端口号

下面是一个简单的 demo(注意,需要对尖括号使用转义符):

$ ss -tunl sport lt 50
$ ss -tunl sport \< 50

2.7 通过 TCP 的状态进行过滤

ss 命令还可以通过 TCP 连接的状态进程过滤,支持的 TCP 协议中的状态有:

established
syn-sent
syn-recv
fin-wait-1
fin-wait-2
time-wait
closed
close-wait
last-ack
listening
closing

除了上面的 TCP 状态,还可以使用下面这些状态:

all 列出所有的 TCP 状态。
connected 列出除了 listening 和 closing 之外的所有 TCP 状态。
synchronized 列出除了 syn-sent 之外的所有 TCP 状态。
bucket 列出 maintained 的状态,如:time-wait 和 syn-recv。
big 列出和 bucket 相反的状态。

使用 ipv4 时的过滤语法如下:

$ ss -4 state filter

使用 ipv6 时的过滤语法如下:

$ ss -6 state filter

下面是一个简单的例子:

$ ss -4 state listening

2.8 同时过滤 TCP 的状态和端口号

(注意下面命令中的转义符和空格,都是必须的。如果不用转义符,可以使用单引号) 下面的命令显示所有状态为 established 的 ssh 连接:

$ ss -4n  state listening

下面的两种写法是等价的,要有使用 \ 转义小括号,要么使用单引号括起来:

$ ss -4n  state listening \( dport = :ssh  \)
$ ss -4n  state listening '( dport = :ssh  )' 

只是最后的结果稍微让人有些意外,不仅显示了监听的端口,也显示了通过 22 端口建立的连接。

下面我们显示所有状态为 Established 的 HTTP 连接:

$ ss state established '( sport = :http or dport = :http )'

下面的命令列出所有连接到 22 端口的连接和对 22 端口的监听:

$ ss state all dport = :22

下面是一个来自 ss man page 的例子,它列举出处于 FIN-WAIT-1状态的源端口为 80 或者 443,目标网络为 193.233.724 所有 TCP 套接字:

$ ss state fin-wait-1 '( sport = :http or sport = :https )' dst 193.233.7/24 

2.9 总结

由于性能出色且功能丰富,ss 命令可以用来替代 netsate 命令成为我们日常查看 socket 相关信息的利器。其实抛弃 netstate 命令已经是大势所趋,有的 Linux 版本默认已经不再内置 netstate 而是内置了 ss 命令。

参考资料

个人公众号,比较懒,很少更新,可以在上面提问题,如果回复不及时,可发邮件给我: tiehan@sina.cn

Sam avatar
About Sam
专注生物信息 专注转化医学