(转)Linux网络状态工具ss命令使用详解

Linux网络状态工具ss命令使用详解

原文：http://www.landui.com/help/show-5991.html

ss 是 socket statistics 的缩写。顾名思义，ss 命令可以用来获取socket 统计信息，它可以显示和netstat 类似的内容。但 ss 的优势在于它能够显示更多更详细的有关TCP和连接状态的信息，而且比netstat更快速更高效。

　　当服务器的socket连接数量变得非常大时，无论是使用netstat命令还是 cat  /proc/net/tcp，执行速度都会很慢。可能你不会有切身的感受，但请相信我，当服务器维持的连接达到上万个的时候，使用 netstat 等于浪费生命，而用 ss才是 节省时间。

　　天下武功唯快不破。ss快的秘诀在于，他利用了TCP协议栈中 tcp_diag.   tcp_diag 是一个用于分析统计的模块，可以获得Linux 内核中第一手的信息，这就确保了ss的快捷高效。当然，如果你的系统中没有 tcp_diag,ss也可以正常运行，只是效率会变得稍慢。（但仍然比  netstat 要快。）

　　1.命令格式：

　　　　ss [参数]

　　　　ss [参数] [过滤]

　　2.命令功能：

　　　　ss（socket statistics 缩写），该命令可以用来获取  socket 的统计信息，此命令输出的结果类似于 netstat 输出的内容，但它能显示更多更详细的 TCP 连接状态的信息，且比 netstat 更快速高效。它使用了 TCP 协议栈中 tcp_diag（是一个用于分析统计的模块），能直接从获得第一手内核信息，这就使得 ss 命令快捷高效。在没有 tcp_diag,ss 也可以正常运行。

　　3.命令参数：

　　-n　　--numeric不解析服务名称

　　-r　　--resolve　解析主机名

　　-l　　--listening 显示监听状态的套接字（sockets）

　　-a　　--all显示所有套接字

　　-o　　--options　　显示计时器信息

　　-e　　--extended　　显示详细的套接字（socket）的内存使用情况

　　-p　　--processed　　显示使用套接字的进程

　　-i　　--info 　　显示 tcp 内部信息

　　-s　　--summary　　显示套接字（socket）使用概况

　　-4　　--IPv4　　仅显示 IPv4的套接字

　　-6

　　-0（零）　　--packet　　显示 PACKET 套接字

　　-t　　--tcp　　仅显示 TCP 套接字

　　-u　　--udp　　仅显示  UDP套接字

　　-d　　--dccp　　仅显示 DCCP 套接字

　　-w　　--raw　　仅显示  RAW 套接字

　　-x　　--Unix  仅显示 Unix 套接字

　　-f　　--family=FAMILY　　显示 FAMILY 类型的套接字，FAMILY可选  Unix， inet, inet6, link ,  netlink　　

　　-A　　--query=QUERY, --socket=QUERY

　　　　　　　　QUERY  :=  {all| inet| tcp| udp | raw | unix | packet | netlink } [QUERY]

　　-D　　--diag=FILE　　将原始TCP 套接字信息转储到文件

　　-F　　--filter=FILE　　从文件中都去过滤信息

　　　　　　　　FLITER　　　　:=  [ state  TCP-STATE ] [ EXPRESSION ]

　　4使用实例：

　　实例1：显示TCP连接

　　命令：ss　　-t    -a

　　实例2：显示 sockets  摘要

　　命令：　　ss   -s

　　　　列出当前的established、 closed、 orphaned  and  waiting  TCP sockets

　　实例3：

　　　　ss  -l

　　实例4:查看进程使用的socket

　　命令：

　　　　ss  -pl

　　实例5：找出打开套接字/端口应用程序

　　命令：

　　　　ss  -lp  |  grep  3306

　　实例6：显示所有UDP  sockets

　　命令：

　　　　ss   -u  -a

　　实例7：显示所有状态为 established  的 SMTP 连接

　　命令：

　　　　ss  -o　　state  established  `(  dport  =: smtp  or  sport  = : smtp )`

　　实例8：显示所有状态为 Established 的 HTTP 连接

　　命令：

　　　　ss  -o  state  established  `(dport  =  :http  or  sport  =  :http)`　　

　　实例9：列举出处于  FIN-WAIT-1 状态的源端口为   80 或者  443， 目标网络为  192.168.1 /24 的所有 tcp 套接字

　　命令：　　

　　　　ss  -o  state  fin-wait-1  `( sport  =  :http  or  sport  =  :https)`  dst  192.168.1/24

　　实例10：用TCP 状态过滤 sockets：

　　命令：

　　　　ss  -4  state  FILTER-NAME-HERE

　　　　ss  -6　state  FILTER-NAME-HERE

　　FILTER-NAME-HERE 可以代表以下任何一个

　　established

　　syn-sent

　　syn-recv

　　fin-wait-1

　　fin-wait-2

　　time-wait

　　closed

　　close-wait

　　last-ack

　　listen

　　closing

　　all  所有以上状态

　　connected   除了listen and closed 的所有状态

　　synchronized 　　所有已连接的状态除了  syn-sent

　　bucket　　显示状态为 maintained  as  minisockets, 如 time-wait 和 syn-recv.

　　big　　和bucket 相反

　　实例11：匹配远程地址和端口号

　　命令：

　　　　ss  dst  ADDERSS_PATTERN

　　　　ss  dst  192.168.1.1

　　　　ss　dst　192.168.1.1:8080

　　实例12：匹配本地地址和端口号

　　命令：　

　　　　ss　　src  ADDRESS_PATTERN

　　　　ss　　src　192.168.1.1

　　　　ss　　src   192.168.1.1:80

　　实例13：将本地或者远程端口和一个数比较　　

　　命令：

　　　　ss　　dport　　OP　　PORT　　远程端口和一个数比较； destination  port

　　　　ss　　sport　　OP　　PORT　　本地端口和一个数比较；　source   port

　　　　OP--OPTION：

　　　　<=  or  le,　　>= or ge,　　==  or eq,

　　　　!=  or  ne　　<  or gt  　　>   or   lt

　　实例14： ss  和  netstat 效率对比

　　命令：

　　　　　time  netstat  -at

　　　　　time  ss

　　用 time 命令分别获取通过netstat 和 ss 命令获取程序占用资源所使用的时间。在服务器连接数比较多的时候，netstat 的效率完全没法和 ss 比。