[转载］netstat使用

转载自
http://www.cnblogs.com/ggjucheng/archive/2012/01/08/2316661.html
Linux netstat命令详解
写在最前面

---

同学们，mac的netstat和linux的是不一样的啊
前言

---

netstat命令用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。netstat是在内核中访问网络及相关信息的程序，它能提供TCP连接，TCP和UDP监听，进程内存管理的相关报告。

如果你的计算机有时候接收到的数据报导致出错数据或故障，你不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用netstat查一查为什么会出现这些情况了。

netstat命令可以显示网络接口的很多统计信息，包括打开的socket和路由表。无选项运行命令显示打开的socket。

默认

# netstat

我的mac上的输出

Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0      0  alexs-mbp.51472        www.evernote.com.https ESTABLISHED
tcp4       0      0  alexs-mbp.51468        hkg12s09-in-f14..https ESTABLISHED
tcp4       0      0  alexs-mbp.49451        ec2-54-149-28-20.https ESTABLISHED
tcp4       0      0  alexs-mbp.49429        17.188.138.72.5223     ESTABLISHED
tcp4       0      0  alexs-mbp.49425        173.112.255.173..https ESTABLISHED
tcp4       0      0  alexs-mbp.49161        17.252.236.33.5223     ESTABLISHED
udp4       0      0  *.*                    *.*
udp4       0      0  *.*                    *.*
udp4       0      0  *.61469                *.*
udp4       0      0  *.*                    *.*
udp4       0      0  *.*                    *.*
udp4       0      0  *.*                    *.*
udp6       0      0  alexs-mbp.local.ntp    *.*
udp4       0      0  alexs-mbp.ntp          *.*

linux上的输出

[root@localhost ~]# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0    268 192.168.120.204:ssh         10.2.0.68:62420             ESTABLISHED 
udp        0      0 192.168.120.204:4371        10.58.119.119:domain        ESTABLISHED 
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ]         DGRAM                    1491   @/org/kernel/udev/udevd
unix  4      [ ]         DGRAM                    7337   /dev/log
unix  2      [ ]         DGRAM                    708823 
unix  2      [ ]         DGRAM                    7539   
unix  3      [ ]         STREAM     CONNECTED     7287   
unix  3      [ ]         STREAM     CONNECTED     7286   

从整体上看，netstat的输出结果可以分为两个部分：

一个是Active Internet connections，称为有源TCP连接，其中"Recv-Q"和"Send-Q"指的是接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。

另一个是Active UNIX domain sockets，称为有源Unix域套接口(和网络套接字一样，但是只能用于本机通信，性能可以提高一倍)。

Proto显示连接使用的协议,RefCnt表示连接到本套接口上的进程号,Types显示套接口的类型,State显示套接口当前的状态,Path表示连接到套接口的其它进程使用的路径名。

套接口类型：

• -t TCP
• -u UDP
• -raw RAW类型
• --unix UNIX域类型
• --ax25 AX25类型
• --ipx ipx类型
• --netrom netrom类型
• -a (all)显示所有选项，默认不显示LISTEN相关
• -n 拒绝显示别名，能显示数字的全部转化成数字(比如默认会把22显示为ssh）
• -l 仅列出有在 Listen (监听) 的服務状态
• -p 显示建立相关链接的程序名
• -r 显示路由信息，路由表
• -e 显示扩展信息，例如uid等
• -s 按各个协议进行统计
• -c 每隔一个固定时间，执行该netstat命令。

状态说明：

• LISTEN：侦听来自远方的TCP端口的连接请求
• SYN-SENT：再发送连接请求后等待匹配的连接请求（如果有大量这样的状态包，检查是否中招了）
• SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认（如有大量此状态，估计被flood攻击了）
• ESTABLISHED：代表一个打开的连接
• FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认
• FIN-WAIT-2：从远程TCP等待连接中断请求
• CLOSE-WAIT：等待从本地用户发来的连接中断请求
• CLOSING：等待远程TCP对连接中断的确认
• LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认（不是什么好东西，此项出现，检查是否被攻击）
• TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认
• CLOSED：没有任何连接状态

常用

• 附加显示LISTEN的链接
  # netstat -a
• 显示当前UDP连接状况
  ＃ netstat -nu
• 显示UDP端口号的使用情况
  # netstat -apu
• 查看10022端口使用情况 / 找出程序运行的端口
  netstat -nap | grep 10022
netstat -ap | grep ssh（ssh做端口名）
• 在 netstat 输出中显示 PID 和进程名称
  netstat -p
• 显示网络接口列表
  netstat -i
• 显示网络统计信息
  # netstat -s
  按照各个协议分别显示其统计数据。如果我们的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么我们就可以用本选项来查看一下所显示的信息。我们需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。
• 日常查端口
  netstat -tulnp |grep ssh （ssh做程序名）