netstat命令的常见用法（转）

netstat 的10个基本用法

Netstat 简介

Netstat 是一款命令行工具，可用于列出系统上所有的网络套接字连接情况，包括 tcp, udp 以及 unix 套接字，另外它还能列出处于监听状态（即等待接入请求）的套接字。如果你想确认系统上的 Web 服务有没有起来，你可以查看80端口有没有打开。以上功能使 netstat 成为网管和系统管理员的必备利器。在这篇教程中，我会列出几个例子，教大家如何使用 netstat 去查找网络连接信息和系统开启的端口号。

以下的简单介绍来自 netstat 的 man 手册：

netstat - 打印网络连接、路由表、连接的数据统计、伪装连接以及广播域成员。

1. 列出所有连接

第一个要介绍的，是最简单的命令：列出所有当前的连接。使用 -a 选项即可。

$ netstat -a
 
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp   enlightened:domain *:* LISTEN
tcp   localhost:ipp *:* LISTEN
tcp   enlightened.local: li240-.members.li:http ESTABLISHED
tcp   enlightened.local: del01s07-in-f14.:https ESTABLISHED
tcp6   ip6-localhost:ipp [::]:* LISTEN
udp   enlightened:domain *:*
udp   *:bootpc *:*
udp   enlightened.local:ntp *:*
udp   localhost:ntp *:*
udp   *:ntp *:*
udp   *: *:*
udp   *:mdns *:*
udp   *: *:*
udp6   fe80:::36ff:fef8:ntp [::]:*
udp6   ip6-localhost:ntp [::]:*
udp6   [::]:ntp [::]:*
udp6   [::]:mdns [::]:*
udp6   [::]: [::]:*
udp6   [::]: [::]:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix  [ ACC ] STREAM LISTENING  @/tmp/dbus-IDgfj3UGXX
unix  [ ACC ] STREAM LISTENING  @/dbus-vfs-daemon/socket-6nUC6CCx

上述命令列出 tcp, udp 和 unix 协议下所有套接字的所有连接。然而这些信息还不够详细，管理员往往需要查看某个协议或端口的具体连接情况。

2. 只列出 TCP 或 UDP 协议的连接

使用 -t 选项列出 TCP 协议的连接：

$ netstat -at
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp   enlightened:domain *:* LISTEN
tcp   localhost:ipp *:* LISTEN
tcp   enlightened.local: del01s07-in-f24.:https ESTABLISHED
tcp   enlightened.local: a96---.depl:http ESTABLISHED
tcp   enlightened.local: ABTS-North-Static-:http ESTABLISHED
.....

使用 -u 选项列出 UDP 协议的连接：

$ netstat -au
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp   *: *:*
udp   enlightened:domain *:*
udp   *:bootpc *:*
udp   enlightened.local:ntp *:*
udp   localhost:ntp *:*
udp   *:ntp *:*
udp6   fe80:::36ff:fef8:ntp [::]:*
udp6   ip6-localhost:ntp [::]:*
udp6   [::]:ntp [::]:*

上面同时显示了 IPv4 和 IPv6 的连接。

3. 禁用反向域名解析，加快查询速度

默认情况下 netstat 会通过反向域名解析技术查找每个 IP 地址对应的主机名。这会降低查找速度。如果你觉得 IP 地址已经足够，而没有必要知道主机名，就使用 -n 选项禁用域名解析功能。

$ netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp   127.0.1.1: 0.0.0.0:* LISTEN
tcp   127.0.0.1: 0.0.0.0:* LISTEN
tcp   192.168.1.2: 173.255.230.5: ESTABLISHED
tcp   192.168.1.2: 173.194.36.117: ESTABLISHED
tcp6   ::: :::* LISTEN

上述命令列出所有 TCP 协议的连接，没有使用域名解析技术。So easy ? 非常好。

4. 只列出监听中的连接

任何网络服务的后台进程都会打开一个端口，用于监听接入的请求。这些正在监听的套接字也和连接的套接字一样，也能被 netstat 列出来。使用 -l 选项列出正在监听的套接字。

$ netstat -tnl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp   127.0.1.1: 0.0.0.0:* LISTEN
tcp   127.0.0.1: 0.0.0.0:* LISTEN
tcp6   ::: :::* LISTEN

现在我们可以看到处于监听状态的 TCP 端口和连接。如果你查看所有监听端口，去掉 -t 选项。如果你只想查看 UDP 端口，使用 -u 选项，代替 -t 选项。

注意：不要使用 -a 选项，否则 netstat 会列出所有连接，而不仅仅是监听端口。

5. 获取进程名、进程号以及用户 ID

查看端口和连接的信息时，能查看到它们对应的进程名和进程号对系统管理员来说是非常有帮助的。举个栗子，Apache 的 httpd 服务开启80端口，如果你要查看 http 服务是否已经启动，或者 http 服务是由 apache 还是 nginx 启动的，这时候你可以看看进程名。

使用 -p 选项查看进程信息。

~$ sudo netstat -nlpt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp   127.0.1.1: 0.0.0.0:* LISTEN /dnsmasq
tcp   127.0.0.1: 0.0.0.0:* LISTEN /cupsd
tcp6   ::: :::* LISTEN /cupsd

使用 -p 选项时，netstat 必须运行在 root 权限之下，不然它就不能得到运行在 root 权限下的进程名，而很多服务包括 http 和 ftp 都运行在 root 权限之下。

相比进程名和进程号而言，查看进程的拥有者会更有用。使用 -ep 选项可以同时查看进程名和用户名。

$ sudo netstat -ltpe
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp   enlightened:domain *:* LISTEN root  /dnsmasq
tcp   localhost:ipp *:* LISTEN root  /cupsd
tcp6   ip6-localhost:ipp [::]:* LISTEN root  /cupsd

上面列出 TCP 协议下的监听套接字，同时显示进程信息和一些额外信息。

这些额外的信息包括用户名和进程的索引节点号。这个命令对网管来说很有用。

注意 - 假如你将 -n 和 -e 选项一起使用，User 列的属性就是用户的 ID 号，而不是用户名。

6. 打印统计数据

netstat 可以打印出网络统计数据，包括某个协议下的收发包数量。

下面列出所有网络包的统计情况：

$ netstat -s
Ip:
 total packets received
 forwarded
 incoming packets discarded
 incoming packets delivered
 requests sent out
 outgoing packets dropped
Icmp:
 ICMP messages received
 input ICMP message failed.
ICMP input histogram:
destination unreachable:
 ICMP messages sent
 ICMP messages failed
ICMP output histogram:
destination unreachable:
... OUTPUT TRUNCATED ...

如果想只打印出 TCP 或 UDP 协议的统计数据，只要加上对应的选项（-t 和 -u）即可，so easy。

7. 显示内核路由信息

使用 -r 选项打印内核路由信息。打印出来的信息与 route 命令输出的信息一样。我们也可以使用 -n 选项禁止域名解析。

$ netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG    eth0
192.168.1.0 0.0.0.0 255.255.255.0 U    eth0

8. 打印网络接口

netstat 也能打印网络接口信息，-i 选项就是为这个功能而生。

$ netstat -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0           BMRU
lo           LRU

上面输出的信息比较原始。我们将 -e 选项和 -i 选项搭配使用，可以输出用户友好的信息。

$ netstat -ie
Kernel Interface table
eth0 Link encap:Ethernet HWaddr :::f8:b2:
inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80:::36ff:fef8:b264/ Scope:Link
UP BROADCAST RUNNING MULTICAST MTU: Metric:
RX packets: errors: dropped: overruns: frame:
TX packets: errors: dropped: overruns: carrier:
collisions: txqueuelen:
RX bytes: (29.6 MB) TX bytes: (4.5 MB)
Interrupt: Memory:da000000-da020000
 
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::/ Scope:Host
UP LOOPBACK RUNNING MTU: Metric:
RX packets: errors: dropped: overruns: frame:
TX packets: errors: dropped: overruns: carrier:
collisions: txqueuelen:
RX bytes: (305.2 KB) TX bytes: (305.2 KB)

上面的输出信息与 ifconfig 输出的信息一样。

9. netstat 持续输出

我们可以使用 netstat 的 -c 选项持续输出信息。

$ netstat -ct

这个命令可持续输出 TCP 协议信息。

10. 显示多播组信息

选项 -g 会输出 IPv4 和 IPv6 的多播组信息。

$ netstat -g
IPv6/IPv4 Group Memberships
Interface RefCnt Group
--------------- ------ ---------------------
lo  all-systems.mcast.net
eth0  224.0.0.251
eth0  all-systems.mcast.net
lo  ip6-allnodes
lo  ff01::
eth0  ff02::fb
eth0  ff02:::fff8:b264
eth0  ip6-allnodes
eth0  ff01::
wlan0  ip6-allnodes
wlan0  ff01::

更多用法

目前为止我们列出了 netstat 的基本用法，现在让我们一起来 geek 吧～

打印 active 状态的连接

active 状态的套接字连接用 "ESTABLISHED" 字段表示，所以我们可以使用 grep 命令获得 active 状态的连接：

$ netstat -atnp | grep ESTA
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp   192.168.1.2: 173.255.230.5: ESTABLISHED /chrome
tcp   192.168.1.2: 173.194.36.117: ESTABLISHED /chrome

配合 watch 命令监视 active 状态的连接：

$ watch -d -n0 "netstat -atnp | grep ESTA"

查看服务是否在运行

如果你想看看 http,smtp 或 ntp 服务是否在运行，使用 grep。

$ sudo netstat -aple | grep ntp
udp   enlightened.local:ntp *:* root  /ntpd
udp   localhost:ntp *:* root  /ntpd
udp   *:ntp *:* root  /ntpd
udp6   fe80:::36ff:fef8:ntp [::]:* root  /ntpd
udp6   ip6-localhost:ntp [::]:* root  /ntpd
udp6   [::]:ntp [::]:* root  /ntpd
unix  [ ] DGRAM  /ntpd

从这里可以看到 ntp 服务正在运行。使用 grep 命令你可以查看 http 或 smtp 或其它任何你想查看的服务。

好了，netstat 的大部分功能都介绍过了，如果你想知道 netstat 更高级的功能，阅读它的手册吧（man netstat）。