Linuxnetstat命令详解

　　简介
　　Netstat命令用于显示各种网络相关信息，如网络连接，路由表，接口状态（InterfaceStatistics），masquerade连接，多播成员（MulticastMemberships）等等。输出信息含义
　　执行netstat后，其输出结果为ActiveInternetconnections（woservers）ProtoRecvQSendQLocalAddressForeignAddressStatetcp02210。34。6。89：telnet210。34。6。96：2873ESTABLISHEDtcp2960210。34。6。89：1165210。34。6。84：netbiosssnESTABLISHEDtcp00localhost。localdom：9001localhost。localdom：1162ESTABLISHEDtcp00localhost。localdom：1162localhost。localdom：9001ESTABLISHEDtcp080210。34。6。89：1161210。34。6。10：netbiosssnCLOSEActiveUNIXdomainsockets（woservers）ProtoRefCntFlagsTypeStateINodePathunix1〔〕STREAMCONNECTED16178000000ddunix1〔〕STREAMCONNECTED16176000000dcunix9〔〕DGRAM5292devlogunix1〔〕STREAMCONNECTED16182000000df
　　从整体上看，netstat的输出结果可以分为两个部分：
　　一个是ActiveInternetconnections，称为有源TCP连接，其中RecvQ和SendQ指0A的是接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。
　　另一个是ActiveUNIXdomainsockets，称为有源Unix域套接口（和网络套接字一样，但是只能用于本机通信，性能可以提高一倍）。
　　Proto显示连接使用的协议，RefCnt表示连接到本套接口上的进程号，Types显示套接口的类型，State显示套接口当前的状态，Path表示连接到套接口的其它进程使用的路径名。常见参数
　　a（all）显示所有选项，默认不显示LISTEN相关
　　t（tcp）仅显示tcp相关选项
　　u（udp）仅显示udp相关选项
　　n拒绝显示别名，能显示数字的全部转化成数字。
　　l仅列出有在Listen（监听）的服務状态
　　p显示建立相关链接的程序名
　　r显示路由信息，路由表
　　e显示扩展信息，例如uid等
　　s按各个协议进行统计
　　c每隔一个固定时间，执行该netstat命令。
　　提示：LISTEN和LISTENING的状态只有用a或者l才能看到实用命令实例
　　1。列出所有端口（包括监听和未监听的）
　　列出所有端口netstataActiveInternetconnections（woservers）ProtoRecvQSendQLocalAddressForeignAddressStatetcp02210。34。6。89：telnet210。34。6。96：2873ESTABLISHEDtcp2960210。34。6。89：1165210。34。6。84：netbiosssnESTABLISHEDtcp00localhost。localdom：9001localhost。localdom：1162ESTABLISHEDtcp00localhost。localdom：1162localhost。localdom：9001ESTABLISHEDtcp080210。34。6。89：1161210。34。6。10：netbiosssnCLOSEActiveUNIXdomainsockets（woservers）ProtoRefCntFlagsTypeStateINodePathunix1〔〕STREAMCONNECTED16178000000ddunix1〔〕STREAMCONNECTED16176000000dcunix9〔〕DGRAM5292devlogunix1〔〕STREAMCONNECTED16182000000df
　　列出所有tcp端口netstatatnetstatatActiveInternetconnections（serversandestablished）ProtoRecvQSendQLocalAddressForeignAddressStatetcp00localhost：30037：LISTENtcp00localhost：ipp：LISTENtcp00：smtp：LISTENtcp600localhost：ipp〔：：〕：LISTEN
　　列出所有udp端口netstataunetstatauActiveInternetconnections（serversandestablished）ProtoRecvQSendQLocalAddressForeignAddressStateudp00：bootpc：udp00：49119：udp00：mdns：
　　2。列出所有处于监听状态的Sockets
　　只显示监听端口netstatlnetstatlActiveInternetconnections（onlyservers）ProtoRecvQSendQLocalAddressForeignAddressStatetcp00localhost：ipp：LISTENtcp600localhost：ipp〔：：〕：LISTENudp00：49119：
　　只列出所有监听tcp端口netstatltnetstatltActiveInternetconnections（onlyservers）ProtoRecvQSendQLocalAddressForeignAddressStatetcp00localhost：30037：LISTENtcp00：smtp：LISTENtcp600localhost：ipp〔：：〕：LISTEN
　　只列出所有监听udp端口netstatlunetstatluActiveInternetconnections（onlyservers）ProtoRecvQSendQLocalAddressForeignAddressStateudp00：49119：udp00：mdns：
　　只列出所有监听UNIX端口netstatlxnetstatlxActiveUNIXdomainsockets（onlyservers）ProtoRefCntFlagsTypeStateINodePathunix2〔ACC〕STREAMLISTENING6294privatemaildropunix2〔ACC〕STREAMLISTENING6203publiccleanupunix2〔ACC〕STREAMLISTENING6302privateifmailunix2〔ACC〕STREAMLISTENING6306privatebsmtp3。显示每个协议的统计信息
　　显示所有端口的统计信息netstatsnetstatsIp：11150totalpacketsreceived1withinvalidaddresses0forwarded0incomingpacketsdiscarded11149incomingpacketsdelivered11635requestssentoutIcmp：0ICMPmessagesreceived0inputICMPmessagefailed。Tcp：582activeconnectionsopenings2failedconnectionattempts25connectionresetsreceivedUdp：1183packetsreceived4packetstounknownportreceived。。。。。。
　　显示TCP或UDP端口的统计信息netstatst或sunetstatstnetstatsu
　　4。在netstat输出中显示PID和进程名称netstatp
　　netstatp可以与其它开关一起使用，就可以添加PID进程名称到netstat输出中，这样debugging的时候可以很方便的发现特定端口运行的程序。netstatptActiveInternetconnections（woservers）ProtoRecvQSendQLocalAddressForeignAddressStatePIDProgramnametcp10rameshlaptop。loc：47212192。168。185。75：wwwCLOSEWAIT2109firefoxtcp00rameshlaptop。loc：52750lax：wwwESTABLISHED2109firefox5。在netstat输出中不显示主机，端口和用户名（host，portoruser）
　　当你不想让主机，端口和用户名显示，使用netstatn。将会使用数字代替那些名称。
　　同样可以加速输出，因为不用进行比对查询。netstatan
　　如果只是不想让这三个名称中的一个被显示，使用以下命令netsatanumericportsnetsatanumerichostsnetsatanumericusers
　　6。持续输出netstat信息
　　netstat将每隔一秒输出网络信息。netstatcActiveInternetconnections（woservers）ProtoRecvQSendQLocalAddressForeignAddressStatetcp00rameshlaptop。loc：36130101101181225。ama：wwwESTABLISHEDtcp11rameshlaptop。loc：52564101。11。169。230：wwwCLOSINGtcp00rameshlaptop。loc：43758server101101432：wwwESTABLISHEDtcp11rameshlaptop。loc：42367101。101。34。101：wwwCLOSINGC
　　7。显示系统不支持的地址族（AddressFamilies）netstatverbose
　　在输出的末尾，会有如下的信息netstat：nosupportforAFIPXonthissystem。netstat：nosupportforAFAX25onthissystem。netstat：nosupportforAFX25onthissystem。netstat：nosupportforAFNETROMonthissystem。
　　8。显示核心路由信息netstatrnetstatrKernelIProutingtableDestinationGatewayGenmaskFlagsMSSWindowirttIface192。168。1。0255。255。255。0U000eth2linklocal255。255。0。0U000eth2default192。168。1。10。0。0。0UG000eth2
　　注意：使用netstatrn显示数字格式，不查询主机名称。
　　9。找出程序运行的端口
　　并不是所有的进程都能找到，没有权限的会不显示，使用root权限查看所有的信息。netstatapgrepsshtcp10devdb：ssh101。174。100。22：39213CLOSEWAITtcp10devdb：ssh101。174。100。22：57643CLOSEWAIT
　　找出运行在指定端口的进程netstatangrep：80
　　10。显示网络接口列表netstatiKernelInterfacetableIfaceMTUMetRXOKRXERRRXDRPRXOVRTXOKTXERRTXDRPTXOVRFlgeth01500000000000BMUeth2150002619600026883600BMRUlo16436040004000LRU
　　显示详细信息，像是ifconfig使用netstatie：netstatieKernelInterfacetableeth0Linkencap：EthernetHWaddr00：10：40：11：11：11UPBROADCASTMULTICASTMTU：1500Metric：1RXpackets：0errors：0dropped：0overruns：0frame：0TXpackets：0errors：0dropped：0overruns：0carrier：0collisions：0txqueuelen：1000RXbytes：0（0。0B）TXbytes：0（0。0B）Memory：f6ae0000f6b0000011。IP和TCP分析
　　查看连接某服务端口最多的的IP地址wss8848ubuntu：netstatnatgrep192。168。1。15：22awk｛print5｝awkF：｛print1｝sortuniqcsortnrhead2018221。136。168。363154。74。45。242278。173。31。236262。183。207。982192。168。1。142182。48。111。2152124。193。219。342119。145。41。22114。255。41。30175。102。11。99
　　TCP各种状态列表wss8848ubuntu：netstatnatawk｛print6｝established）ForeignLISTENTIMEWAITESTABLISHEDTIMEWAITSYNSENT先把状态全都取出来，然后使用uniqc统计，之后再进行排序。wss8848ubuntu：netstatnatawk｛print6｝sortuniqc143ESTABLISHED1FINWAIT11Foreign1LASTACK36LISTEN6SYNSENT113TIMEWAIT1established）最后的命令如下：netstatnatawk｛print6｝sortuniqcsortrn分析access。log获得访问前10位的ip地址awk｛print1｝access。logsortuniqcsortnrhead10