网络状态诊断工具——netstat命令

netstat命令可以用来查询整个系统的网络状态。百度百科的定义如下：

Netstat的定义是： Netstat是在内核中访问网络连接状态及其相关信息的程序，它能提供TCP连接，TCP和UDP监听，进程内存管理的相关报告。

Netstat是控制台命令,是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

从上面的百科介绍我们可以看出，netstat命令在查询网络问题的时候十分有用。下面就来详细介绍下netstat的用法。

使用语法

netstat [-acCeFghilMnNoprstuvVwx][-A<网络类型>][--ip]

参数说明

• -a或--all 显示所有连线中的Socket。
• -A<网络类型>或--<网络类型> 列出该网络类型连线中的相关地址。
• -c或--continuous 持续列出网络状态。
• -C或--cache 显示路由器配置的快取信息。
• -e或--extend 显示网络其他相关信息。
• -F或--fib 显示FIB。
• -g或--groups 显示多重广播功能群组组员名单。
• -h或--help 在线帮助。
• -i或--interfaces 显示网络界面信息表单。
• -l或--listening 显示监控中的服务器的Socket。
• -M或--masquerade 显示伪装的网络连线。
• -n或--numeric 直接使用IP地址，而不通过域名服务器。
• -N或--netlink或--symbolic 显示网络硬件外围设备的符号连接名称。
• -o或--timers 显示计时器。
• -p或--programs 显示正在使用Socket的程序识别码和程序名称。
• -r或--route 显示Routing Table。
• -s或--statistice 显示网络工作信息统计表。
• -t或--tcp 显示TCP传输协议的连线状况。
• -u或--udp 显示UDP传输协议的连线状况。
• -v或--verbose 显示指令执行过程。
• -V或--version 显示版本信息。
• -w或--raw 显示RAW传输协议的连线状况。
• -x或--unix 此参数的效果和指定"-A unix"参数相同。
• --ip或--inet 此参数的效果和指定"-A inet"参数相同。

使用实例

[root@SHA-L0161171 arthas]$ netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:8004            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:11052           0.0.0.0:*               LISTEN
tcp        0      0 172.24.248.108:8004     192.168.202.31:57588    ESTABLISHED
tcp        0      0 127.0.0.1:51092         127.0.0.1:8091          TIME_WAIT
tcp        0      0 172.24.248.108:8004     192.168.202.38:32283    ESTABLISHED
tcp        0      0 172.24.248.108:8004     192.168.202.38:58923    TIME_WAIT
tcp        0      0 172.24.248.108:8004     192.168.202.32:39983    ESTABLISHED
tcp        0      0 172.24.248.108:8004     192.168.202.37:38230    ESTABLISHED
tcp        0      0 172.24.248.108:8004     192.168.202.34:5081     ESTABLISHED
tcp        0      0 172.24.248.108:8004     192.168.202.32:17240    ESTABLISHED
tcp        0      0 127.0.0.1:38784         127.0.0.1:12050         TIME_WAIT  

...

Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  3      [ ]         DGRAM                    18442    /run/systemd/notify
unix  2      [ ]         DGRAM                    18444    /run/systemd/cgroups-agent
unix  2      [ ]         DGRAM                    23822    /var/run/chrony/chronyd.sock
unix  8      [ ]         DGRAM                    18455    /run/systemd/journal/socket
unix  18     [ ]         DGRAM                    18457    /dev/log
unix  2      [ ]         DGRAM                    14151    /var/run/nscd/socket
unix  2      [ ]         DGRAM                    584      /run/systemd/shutdownd
unix  3      [ ]         STREAM     CONNECTED     124439388 /run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     42312    /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTED     39909

上面的输出包含两个部分：

1、Active Internet connections 有源TCP连接，其中"Recv-Q"和"Send-Q"指接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。

2、Active UNIX domain sockets 有源Unix域套接口(和网络套接字一样，但是只能用于本机通信，性能可以提高一倍)。

对于Internet connections部分输出参数，做下重点介绍

• Proto：表示连接使用的协议，常见的有tcp、udp和tcp6等；

• Recv-Q：指接收队列，这个数字一般都应该是0，如果不是则表示数据包正在队列中堆积。拿Tomcat服务器举个列子：当Tcp连接建立后，Tomcat服务器中会有一个accepter线程取出这个连接让worker线程处理，现在假如连接建立的速度远远大于accepter线程取连接的速度，那么连接就在队列中堆积，此时Recv-Q就会大于0；还有一种可能就是系统遭遇到了Dos攻击，已经不能再响应外部请求；

• Send-Q：发送队列，对方没有收到的数据或者说没有Ack的,还是本地缓冲区，如果发送队列Send-Q不能很快的清零，可能是有应用向外发送数据包过快，或者是对方接收数据包不够快；

• Local Address：表示本地地址，这个字段一般有三种形式的值：

  • 172.24.248.108:8004 ： 这种形式的值是最常见的值，表示本机有个ip地址是172.24.248.108，有个程序正在使用本机的8004端口和外部程序建立连接；
  • 0.0.0.0:8004 ： 这种形式的值看起来比较奇怪，其实其中的0.0.0.0表示的是所有能表示本机的ip地址。我们知道机器是可以配置多块网卡的，比如现在我们的机器配置了两个网卡，其中一块配置的地址是172.24.248.108,另外一块配置的地址是172.24.248.109，那么这边的0.0.0.0就是表示172.24.248.108、172.24.248.109和127.0.0.1这三个IP。
  • :::8004 ： 其中的::表示全0的IP地址，比如::