Linux--netstat命令

netstat：显示网络状态

语法定义：netstat [-acCeFghilMnNoprstuvVwx] [-A<网络类型>][--ip]

参数说明：

　　-a 或 -all ：显示所有连线中得Socket

　　-A：<网络类型>或–<网络类型> 列出该网络类型连线中的相关地址。

　　-c 或 -continuous：持续列出网络状态

　　-C 或 -cache：显示路由器配置的快照信息

　　-e 或 -extend：显示网络其他相关信息

　　-F 或 -fib：显示FIB

　　-g 或 -groups：显示多重广播功能群组组员名单

　　-i 或 -interfaces：显示网络界面信息表单

　　-l 或 -listening：显示监控中的服务器的Socket

　　-M 或 –masquerade：显示伪装的网络连线

　　-n 或 -numeric：直接使用IP地址，而不通过域名服务器

　　-N 或 –netlink 或 –symbolic：显示网络硬件外围设备的符号连接名

　　-o 或 -timers：显示计时器

　　-p 或 -programs：显示正在使用Socket的程序识别码和程序名称

　　-r 或 -route：显示Routing Table

　　-s 或 -statistice：显示网络工作信息统计表

　　-t 或 -tcp：显示TCP 传输协议的连线状况

　　-u 或 -udp：显示UDP传输协议得连线状况

　　-v 或 -verbose：显示指令执行过程

　　-w 或 -raw：显示RAW传输协议的连线情况

　　-x 或 -unix：此参数的效果和指定”-A unix”参数相同

　　-ip 或 -inet ：此参数的效果和指定”-A inet”参数相同

　

网络连接状态释义：

共有12中可能的状态，前面11种是按照TCP连接建立的三次握手和TCP连接断开的四次挥手过程来描述的。

1)、LISTEN:首先服务端需要打开一个socket进行监听，状态为LISTEN./* The socket is listening for incoming connections. 侦听来自远方TCP端口的连接请求 */

2)、SYN_SENT:客户端通过应用程序调用connect进行active open.于是客户端tcp发送一个SYN以请求建立一个连接.之后状态置为SYN_SENT./*The socket is actively attempting to establish a connection. 在发送连接请求后等待匹配的连接请求 */

3)、SYN_RECV:服务端应发出ACK确认客户端的 SYN,同时自己向客户端发送一个SYN. 之后状态置为SYN_RECV/* A connection request has been received from the network. 在收到和发送一个连接请求后等待对连接请求的确认 */

4)、ESTABLISHED: 代表一个打开的连接，双方可以进行或已经在数据交互了。/* The socket has an established connection. 代表一个打开的连接，数据可以传送给用户 */

5)、FIN_WAIT1:主动关闭(active close)端应用程序调用close，于是其TCP发出FIN请求主动关闭连接，之后进入FIN_WAIT1状态./* The socket is closed, and the connection is shutting down. 等待远程TCP的连接中断请求，或先前的连接中断请求的确认 */

6)、CLOSE_WAIT:被动关闭(passive close)端TCP接到FIN后，就发出ACK以回应FIN请求(它的接收也作为文件结束符传递给上层应用程序),并进入CLOSE_WAIT./* The remote end has shut down, waiting for the socket to close. 等待从本地用户发来的连接中断请求 */

7)、FIN_WAIT2:主动关闭端接到ACK后，就进入了 FIN-WAIT-2 ./* Connection is closed, and the socket is waiting for a shutdown from the remote end. 从远程TCP等待连接中断请求 */

8)、LAST_ACK:被动关闭端一段时间后，接收到文件结束符的应用程 序将调用CLOSE关闭连接。这导致它的TCP也发送一个 FIN,等待对方的ACK.就进入了LAST-ACK ./* The remote end has shut down, and the socket is closed. Waiting for acknowledgement. 等待原来发向远程TCP的连接中断请求的确认 */

9)、TIME_WAIT:在主动关闭端接收到FIN后，TCP 就发送ACK包，并进入TIME-WAIT状态。/* The socket is waiting after close to handle packets still in the network.等待足够的时间以确保远程TCP接收到连接中断请求的确认 */

10)、CLOSING: 比较少见./* Both sockets are shut down but we still don’t have all our data sent. 等待远程TCP对连接中断的确认 */

11)、CLOSED: 被动关闭端在接受到ACK包后，就进入了closed的状态。连接结束./* The socket is not being used. 没有任何连接状态 */

12)、UNKNOWN: 未知的Socket状态。/* The state of the socket is unknown. */

SYN: (同步序列编号,Synchronize Sequence Numbers)该标志仅在三次握手建立TCP连接时有效。表示一个新的TCP连接请求。
ACK: (确认编号,Acknowledgement Number)是对TCP请求的确认标志,同时提示对端系统已经成功接收所有数据。
FIN: (结束标志,FINish)用来结束一个TCP回话.但对应端口仍处于开放状态,准备接收后续数据。 

系统连接状态：

1.查看 TCP连接状态

netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn

[@izuf60jasqavbxb9efockpz ~]$ netstat -nat |awk '{print $6}' |sort |uniq -c| sort -rn
     TIME_WAIT
      ESTABLISHED
       LISTEN
       Foreign
       established)

2.查看请求中前10个IP

netstat -anlp |grep tcp |awk '{print $5}' |awk -F: '{print $1}' |sort |uniq -c |sort -nr | head -n10

[@izuf60jasqavbxb9efockpz ~]$ netstat -anlp |grep tcp |awk '{print $5}' |awk -F: '{print $1}' |sort |uniq -c |sort -nr | head -n10
(No info could be read for "-p": geteuid()= but you should be root.)
      106.75.214.88
       113.116.112.22
       182.149.166.102
       124.79.12.227
       123.120.181.105
       111.162.222.137
       0.0.0.0
       61.173.96.230
       60.186.177.88
       39.169.170.253

转载自：https://www.cnblogs.com/77qt/p/6144126.html