Jak používat netstat v systému Linux

Příkaz Linux netstatposkytuje pokladnici informací o vašich síťových připojeních, používaných portech a procesech, které je používají. Naučte se jej používat.

Porty, procesy a protokoly

Síťové zásuvky lze připojit nebo čekat na připojení. Připojení používají síťové protokoly, jako je Transport Control Protocol (TCP) nebo User Datagram Protocol UDP. K navazování připojení používají adresy internetového protokolu a síťové porty.

Slovo sokety   může vykouzlit obrazy fyzického bodu připojení pro svod nebo kabel, ale v tomto kontextu je soket softwarový konstrukt používaný ke zpracování jednoho konce síťového datového připojení.

Zásuvky mají dva hlavní stavy: Jsou buď připojeny a usnadňují probíhající síťovou komunikaci, nebo čekají, až se k nim připojí příchozí připojení. Existují i ​​další stavy, například stav, kdy je soket v polovině navazování připojení na vzdáleném zařízení, ale přechodné stavy stranou, můžete si představit, že je soket buď připojený, nebo čekající (což se často nazývá poslech ).

Naslouchací soket se nazývá server a soket, který požaduje připojení s naslouchacím soketem, se nazývá klient . Tato jména nemají nic společného s rolemi hardwaru nebo počítače. Jednoduše definují roli každé zásuvky na každém konci připojení.

netstatPříkaz umožňuje zjistit, které zdířky jsou propojeny a které sokety naslouchají. To znamená, že vám řekne, které porty se používají a které procesy je používají. Může vám ukázat směrovací tabulky a statistiky o vašich síťových rozhraních a vícesměrových připojeních.

Funkčnost netstatbyla v průběhu času replikována v různých linuxových nástrojích, jako jsou ip a ss. Stále stojí za to znát tohoto dědečka všech příkazů pro síťovou analýzu, protože je k dispozici ve všech operačních systémech podobných Linuxu a Unixu a dokonce i ve Windows a Mac.

Zde je návod, jak jej používat, spolu s ukázkovými příkazy.

Seznam všech zásuvek

Možnost -a(vše) umožňuje netstatzobrazit všechny připojené a čekající zásuvky. Tento příkaz pravděpodobně vytvoří dlouhý seznam, takže jej vložíme do kanálu less.

netstat -a | méně

Výpis obsahuje zásuvky TCP (IP), TCP6 (IPv6) a UDP.

Obtékání v okně terminálu trochu ztěžuje sledování toho, co se děje. Zde je několik sekcí z tohoto seznamu:

Aktivní připojení k internetu (servery a navázána) Proto Recv-Q Odeslat-Q Místní adresa Zahraniční adresa Stav tcp 0 0 localhost: doména 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN tcp 0 0 localhost : ipp 0.0.0.0:* LISTEN tcp 0 0 localhost: smtp 0.0.0.0:* LISTEN tcp6 0 0 [::]: ssh [::]: * LISTEN tcp6 0 0 ip6-localhost: ipp [::]: * POSLOUCHEJTE. . . Aktivní doménové zásuvky UNIX (servery a zavedené) Vlajky Proto RefCnt Typ Stav Cesta I-uzlu unix 24 [] DGRAM 12831 / run / systemd / journal / dev-log unix 2 [ACC] POSLOUCHÁNÍ STREAMU 24747 @ / tmp / dbus-zH6clYmvw8 unix 2 [] DGRAM 26372 / run / user / 1000 / systemd / oznámit unix 2 [] DGRAM 23382 / run / user / 121 / systemd / oznámit unix 2 [ACC] POSLECH SEQPACKETU 12839 / run / udev / control

V části „Aktivní internet“ jsou uvedena připojená externí připojení a místní zásuvky, které poslouchají žádosti o vzdálené připojení. To znamená, že obsahuje seznam síťových připojení, která jsou (nebo budou) navázána k externím zařízením.

V části „Doména UNIX“ je uveden seznam připojených a naslouchajících interních připojení. Jinými slovy uvádí seznam připojení, která byla ve vašem počítači vytvořena mezi různými aplikacemi, procesy a prvky operačního systému.

Sloupce „Aktivní internet“ jsou:

  • Proto: Protokol používaný tímto soketem (například TCP nebo UDP).
  • Recv-Q: Fronta příjmu. Jedná se o příchozí bajty, které byly přijaty a jsou ukládány do mezipaměti, čekají na místní proces, který používá toto připojení, aby je přečetl a spotřeboval.
  • Send-Q:  Fronta odeslání. To ukazuje bajty, které jsou připraveny k odeslání z fronty odeslání.
  • Místní adresa: Podrobnosti adresy místního konce připojení. Výchozí nastavení je pro netstat zobrazení místního názvu hostitele pro adresu a názvu služby pro port.
  • Cizí adresa:  Adresa a číslo portu vzdáleného konce připojení.
  • Stav: Stav místní zásuvky. U soketů UDP je obvykle prázdné. Viz tabulka stavu níže.

U připojení TCP může být hodnota stavu jedna z následujících:

  • POSLOUCHAT: Pouze na straně serveru. Zásuvka čeká na požadavek na připojení.
  • SYN-SENT: Pouze na straně klienta. Tato zásuvka zadala požadavek na připojení a čeká, zda bude přijata.
  • SYN-RECEIVED: Pouze na straně serveru. Tato zásuvka čeká na potvrzení připojení po přijetí požadavku na připojení.
  • ZAVEDENO: Server a klienti. Mezi serverem a klientem bylo navázáno funkční spojení, které umožňuje přenos dat mezi nimi.
  • FIN-WAIT-1: Server and clients. Tato zásuvka čeká na požadavek na ukončení připojení ze vzdálené zásuvky nebo na potvrzení požadavku na ukončení připojení, který byl dříve odeslán z této zásuvky.
  • FIN-WAIT-2: Server a klienti. Tato zásuvka čeká na požadavek na ukončení připojení ze vzdálené zásuvky.
  • CLOSE-WAIT: Server a klient. Tato zásuvka čeká na požadavek na ukončení připojení od místního uživatele.
  • ZAVŘÍT: Server a klienti. Tato zásuvka čeká na potvrzení požadavku na ukončení připojení ze vzdálené zásuvky.
  • LAST-ACK: Server and client. Tato zásuvka čeká na potvrzení požadavku na ukončení připojení, který odeslala do vzdálené zásuvky.
  • ČASOVÉ ČEKÁNÍ: Server a klienti. Tato zásuvka zaslala vzdálené zásuvce potvrzení, aby věděla, že obdržela žádost o ukončení vzdálené zásuvky. Nyní čeká na zajištění přijetí potvrzení.
  • ZAVŘENO: Neexistuje žádné připojení, takže soket byl ukončen.

Sloupce „Unixová doména“ jsou:

  • Proto: Protokol používaný touto zásuvkou. Bude to „unix“.
  • RefCnt: Počet referencí. Počet připojených procesů připojených k této zásuvce.
  • Příznaky: Toto je obvykle nastaveno na ACC , což představuje SO_ACCEPTON, což znamená, že soket čeká na požadavek na připojení. SO_WAITDATA, zobrazeno jako W, znamená, že na čtení čekají data. SO_NOSPACE, zobrazené jako N, znamená, že není žádný prostor pro zápis dat do soketu (tj. vyrovnávací paměť pro odesílání je plná).
  • Typ: Typ zásuvky. Viz tabulka typů níže.
  • Stav: Stav zásuvky. Viz tabulka stavu níže.
  • I-Node: Inode souborového systému přidružený k tomuto soketu.
  • Cesta : Cesta systému souborů k soketu.

Typ soketu domény Unix může být jeden z následujících:

  • DGRAM: Soket se používá v režimu datagramu pomocí zpráv pevné délky. Není zaručeno, že datagramy budou spolehlivé, seřazené nebo neduplikované.
  • STREAM: Tato zásuvka je zásuvka streamu. Toto je běžný „normální“ typ připojení zásuvky. Tyto zásuvky jsou navrženy tak, aby poskytovaly spolehlivé sekvenční (v pořadí) doručování paketů.
  • RAW: Tato zásuvka se používá jako základní zásuvka. Nezpracované sokety fungují na úrovni sítě modelu OSI a neodkazují na záhlaví TCP a UDP z úrovně přenosu.
  • RDM: Tento soket je umístěn na jednom konci spolehlivě doručeného připojení zpráv.
  • SEQPACKET: Tento soket funguje jako soket sekvenčního paketu, což je další prostředek k zajištění spolehlivého, sekvenčního a neduplikovaného doručování paketů.
  • PACKET: Nezpracovaná zásuvka rozhraní. Paketové zásuvky se používají k přijímání nebo odesílání nezpracovaných paketů na úrovni ovladače zařízení (tj. Vrstvy datového spojení) modelu OSI.

Zásuvka doména Unix stav může být jedním z následujících:

  • ZDARMA: Tato zásuvka není přidělena.
  • LISTENING: Tato zásuvka naslouchá příchozím požadavkům na připojení.
  • PŘIPOJENÍ: Tato zásuvka se právě připojuje.
  • PŘIPOJENO: Bylo navázáno připojení a soket je schopen přijímat a přenášet data.
  • DISCONNECTING: The connection is in the process of being terminated.

Wow, that’s a lot of information! Many of the netstat options refine the results in one way or another, but they don’t change the content too much. Let’s take a look.

Listing Sockets by Type

The netstat -a command can provide more information than you need to see. If you only want or need to see the TCP sockets, you can use the -t (TCP) option to restrict the display to only show TCP sockets.

netstat -at | less

The display out is greatly reduced. The few sockets that are listed are all TCP sockets.

The -u (UDP) and -x (UNIX) options behave in a similar way, restricting the results to the type of socket specified on the command line. Here’s the -u (UDP) option in use:

netstat -au | less

Only UDP sockets are listed.

Listing Sockets by State

To see the sockets that are in the listening or waiting state, use the -l (listening) option.

netstat -l | less

The sockets that are listed are those that are in the listening state.

This can be combined with the -t (TCP, -u (UDP) and -x (UNIX) options to further home in on the sockets of interest. Let’s look for listening TCP sockets:

netstat -lt | less

Now, we see only TCP listening sockets.

Network Statistics by Protocol

To see statistics for a protocol, use the -s (statistics) option and pass in the -t (TCP), -u (UDP), or -x (UNIX) options. If you just use the -s (statistics) option on its own, you’ll see statistics for all protocols. Let’s check the statistics for the TCP protocol.

netstat -st | less

A collection of statistics for the TCP connections is displayed in less.

Showing Process Names and PIDs

It can be useful to see the process ID (PID) of the process using a socket, together with the name of that process. The -p (program) option does just that. Let’s see what the PIDs and process names are for the processes using a TCP socket that is in the listening state. We use sudo to make sure we receive all of the information that is available, including any information that would normally require root permissions.

sudo netstat -p -at

Here’s that output in a formatted table:

Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name  tcp 0 0 localhost:domain 0.0.0.0:* LISTEN 6927/systemd-resolv  tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN 751/sshd  tcp 0 0 localhost:ipp 0.0.0.0:* LISTEN 7687/cupsd  tcp 0 0 localhost:smtp 0.0.0.0:* LISTEN 1176/master  tcp6 0 0 [::]:ssh [::]:* LISTEN 751/sshd  tcp6 0 0 ip6-localhost:ipp [::]:* LISTEN 7687/cupsd  tcp6 0 0 ip6-localhost:smtp [::]:* LISTEN 1176/master

We’ve got an extra column called “PID/program name.” This column lists the PID and name of the process using each of the sockets.

Listing Numeric Addresses

Another step we can take to remove some ambiguity is to display the local and remote addresses as IP addresses instead of their resolved domain and hostnames. If we use the -n (numeric) option, the IPv4 addresses are shown in dotted-decimal format:

sudo netstat -an | less

The IP addresses are shown as numeric values. The port numbers are also shown, separated by a colon ” : ” from the IP Address.

An IP address of 127.0.0.1 shows that the socket is bound to the loopback address of the local computer. You can think of an IP address of 0.0.0.0 as meaning the “default route” for local addresses, and “any IP address” for foreign addresses. IPv6 addresses shown as “::” are also all zero addresses.

The ports that are listed can be easily checked to see what their usual purpose is:

  • 22: This is the Secure Shell (SSH) listening port.
  • 25: This the Simple Mail Transfer Protocol (SMTP) listening port.
  • 53: This is the Domain Name System (DNS) listening port.
  • 68: This is the Dynamic Host Configuration Protocol (DHCP) listening port.
  • 631: This is the Common UNIX Printing System (CUPS) listening port.

RELATED:What is the Difference Between 127.0.0.1 and 0.0.0.0?

Displaying the Routing Table

The -r (route) option displays the kernel routing table.

sudo netstat -r

Here’s that output in a neat table:

Kernel IP routing table Destination   Gateway       Genmask        Flags  MSS Window  irtt  Iface default       Vigor.router  0.0.0.0        UG       0  0          0 enp0s3 link-local    0.0.0.0       255.255.0.0    U       0  0          0 enp0s3 192.168.4.0   0.0.0.0       255.255.255.0 U       0  0          0 enp0s3

And, here’s what the columns mean:

  • Destination: The destination network or destination host device (if the destination is not a network).
  • Gateway: The gateway address. An asterisk “*” appears here if a gateway address is not set.
  • Genmask: The subnet mask for the route.
  • Flags: See the flags table, below.
  • MSS: Default Maximum Segment Size for TCP connections over this route—this is the largest amount of data that can be received in one TCP segment.
  • Window: The default window size for TCP connections over this route, indicating the number of packets that can be transferred and received before the receiving buffer is full. In practice, the packets are consumed by the receiving application.
  • irtt: The Initial Round Trip Time. This value is referenced by the kernel to make dynamic adjustments to TCP parameters for remote connections that are slow to respond.
  • Iface: The network interface from which the packets sent over this route are transmitted.

The flags value can be one of:

  • U: The route is up.
  • H: Target is a host and the only destination possible on this route.
  • G: Use the gateway.
  • R: Reinstate the route for dynamic routing.
  • D: Dynamically installed by the routing daemon.
  • M: Modified by the routing daemon when it received an Internet Control Message Protocol (ICMP) packet.
  • A: Installed by addrconf, the automated DNS and DHCP config file generator.
  • C: Cache entry.
  • !: Reject route.

Finding the Port Used by a Process

If we pipe the output of netstat through grep, we can search for a process by name and identify the port it is using. We use the -a (all), -n (numeric) and -p (program) options used previously, and search for “sshd.”

sudo netstat -anp | grep "sshd"

grep finds the target string, and we see that the sshd daemon is using port 22.

Of course, we can also do this in reverse. If we search for “:22”, we can find out which process is using that port, if any.

sudo netstat -anp | grep ":22"

This time grep finds the “:22” target string, and we see that the process using this port is the sshd daemon, process ID 751.

List the Network Interfaces

The -i (interfaces) option will display a table of the network interfaces that netstat can discover.

sudo netstat -i

Here’s the output in a more legible fashion:

Kernel Interface table Iface    MTU   RX-OK  RX-ERR RX-DRP  RX-OVR   TX-OK   TX-ERR   TX-DRP   TX-OVR Flg enp0s3   1500 4520671 0 0 0 4779773 0 0 0 BMRU lo 65536 30175 0 0 0 30175 0 0 0 LRU

This is what the columns mean:

  • Iface: The name of the interface. The enp0s3 interface is the network interface to the outside world, and the lo interface is the loopback interface. The loopback interface enables processes to intercommunicate within the computer using networking protocols, even if the computer is not connected to a network.
  • MTU: The Maximum Transmission Unit (MTU). This is the largest “packet” that can be sent. It consists of a header containing routing and protocol flags, and other metadata, plus the data that is actually being transported.
  • RX-OK: The number of packets received, with no errors.
  • RX-ERR: The number of packets received, with errors. We want this to be as low as possible.
  • RX-DRP: The number of packets dropped (i.e., lost). We also want this to be as low as possible.
  • RX-OVR: Number of packets lost due to overflows when receiving. This usually means that the receiving buffer was full and could not accept any more data, but more data was received and had to be discarded. The lower this figure, the better, and zero is perfect.
  • TX-OK: The number of packets transmitted, with no errors.
  • RX-ERR: The number of packets transmitted, with errors. We want this to be zero.
  • RX-DRP: The number of packets dropped when transmitting. Ideally, this should be zero.
  • RX-OVR: The number of packets lost due to overflows when transmitting. This usually means the send buffer was full and could not accept any more data, but more data was was ready to be transmitted and had to be discarded.
  • Flg: Flags. See the flags table below.

The flags represent the following:

  • B: A broadcast address is in use.
  • L: This interface is a loopback device.
  • M: All packets are being received (i.e., in promiscuous mode). Nothing is filtered or discarded.
  • O: Address Resolution Protocol (ARP) is turned off for this interface.
  • P: This is a Point-to-Point (PPP) connection.
  • R: The interface is running.
  • U: The interface is up.

List Multicast Group Memberships

Simply put, a multicast transmission enables a packet to be sent only once, regardless of the number of recipients. For services such as video streaming, for example, this increases the efficiency from the sender’s point of view by a tremendous amount.

The -g (groups) option makes netstat list the multicast group membership of sockets on each interface.

sudo netstat -g

The columns are quite simple:

  • Rozhraní: Název rozhraní, přes které soket vysílá.
  • RefCnt: Počet odkazů, což je počet procesů připojených k soketu.
  • Skupina: Název nebo identifikátor skupiny vícesměrového vysílání.

Nové děti v bloku

Příkazy route, ip, ifconfig a ss mohou poskytnout spoustu toho, co vám netstatmůže ukázat. Jsou to všechny skvělé příkazy, které stojí za to vyzkoušet.

Zaměřili jsme se na netstatto, protože je univerzálně dostupný, bez ohledu na to, na kterém operačním systému Unixu pracujete, dokonce i na těch nejasných.