Linux網(wǎng)絡(luò)狀態(tài)工具ss命令使用詳解

ss命令用于顯示socket狀態(tài). 他可以顯示PACKET sockets, TCP sockets, UDP sockets, DCCP sockets, RAW sockets, Unix domain sockets等等統(tǒng)計. 它比其他工具展示等多tcp和state信息. 它是一個非常實用、快速、有效的跟蹤IP連接和sockets的新工具.SS命令可以提供如下信息：

所有的TCP sockets

所有的UDP sockets

所有ssh/ftp/ttp/https持久連接

所有連接到Xserver的本地進程

使用state（例如：connected, synchronized, SYN-RECV, SYN-SENT,TIME-WAIT）、地址、端口過濾

所有的state FIN-WAIT-1 tcpsocket連接以及更多

很多流行的Linux發(fā)行版都支持ss以及很多監(jiān)控工具使用ss命令.熟悉這個工具有助于您更好的發(fā)現(xiàn)與解決系統(tǒng)性能問題.本人強烈建議使用ss命令替代netstat部分命令,例如netsat -ant/lnt等.

展示他之前來做個對比,統(tǒng)計服務(wù)器并發(fā)連接數(shù)

netstat# time netstat -ant | grep EST | wc -l3100 real 0m12.960suser 0m0.334ssys 0m12.561s# time ss -o state established | wc -l3204 real 0m0.030suser 0m0.005ssys 0m0.026s

結(jié)果很明顯ss統(tǒng)計并發(fā)連接數(shù)效率完勝netstat,在ss能搞定的情況下, 你還會在選擇netstat嗎, 還在猶豫嗎, 看以下例子,或者跳轉(zhuǎn)到幫助頁面.

常用ss命令：

ss -l 顯示本地打開的所有端口ss -pl 顯示每個進程具體打開的socketss -t -a 顯示所有tcp socketss -u -a 顯示所有的UDP Socektss -o state established '( dport = :smtp or sport = :smtp )' 顯示所有已建立的SMTP連接ss -o state established '( dport = :http or sport = :http )' 顯示所有已建立的HTTP連接ss -x src /tmp/.X11-unix/* 找出所有連接X服務(wù)器的進程ss -s 列出當前socket詳細信息:

顯示sockets簡要信息，列出當前已經(jīng)連接，關(guān)閉，等待的tcp連接

# ss -sTotal: 3519 (kernel 3691)TCP: 26557 (estab 3163, closed 23182, orphaned 194, synrecv 0, timewait 23182/0), ports 1452 Transport Total IP IPv6* 3691 - -RAW 2 2 0UDP 10 7 3TCP 3375 3368 7INET 3387 3377 10FRAG 0 0 0

列出當前監(jiān)聽端口

# ss -lRecv-Q Send-Q Local Address:Port Peer Address:Port0 10 :::5989 :::*0 5 *:rsync *:*0 128 :::sunrpc :::*0 128 *:sunrpc *:*0 511 *:http *:*0 128 :::ssh :::*0 128 *:ssh *:*0 128 :::35766 :::*0 128 127.0.0.1:ipp *:*0 128 ::1:ipp :::*0 100 ::1:smtp :::*0 100 127.0.0.1:smtp *:*0 511 *:https *:*0 100 :::1311 :::*0 5 *:5666 *:*0 128 *:3044 *:*

ss列出每個進程名及其監(jiān)聽的端口

# ss -pl

ss列所有的tcp sockets

# ss -t -a

ss列出所有udp sockets

# ss -u -a

ss列出所有http連接中的連接

# ss -o state established '( dport = :http or sport = :http )'

·以上包含對外提供的80，以及訪問外部的80

·用以上命令完美的替代netstat獲取http并發(fā)連接數(shù)，監(jiān)控中常用到

ss列出本地哪個進程連接到x server

# ss -x src /tmp/.X11-unix/*

ss列出處在FIN-WAIT-1狀態(tài)的http、https連接

# ss -o state fin-wait-1 '( sport = :http or sport = :https )'

ss常用的state狀態(tài)：

establishedsyn-sentsyn-recvfin-wait-1fin-wait-2time-waitclosedclose-waitlast-acklistenclosingall : All of the above statesconnected : All the states except for listen and closedsynchronized : All the connected states except for syn-sentbucket : Show states, which are maintained as minisockets, i.e. time-wait and syn-recv.big : Opposite to bucket state.

ss使用IP地址篩選

ss src ADDRESS_PATTERNsrc：表示來源ADDRESS_PATTERN：表示地址規(guī)則如下：ss src 120.33.31.1 # 列出來之20.33.31.1的連接 ＃列出來至120.33.31.1,80端口的連接ss src 120.33.31.1:httpss src 120.33.31.1:8

ss使用端口篩選

ss dport OP PORTOP:是運算符PORT：表示端口dport：表示過濾目標端口、相反的有sport

OP運算符如下：

<= or le : 小于等于 >= or ge : 大于等于== or eq : 等于!= or ne : 不等于端口< or lt : 小于這個端口 > or gt : 大于端口

OP實例

ss sport = :http 也可以是 ss sport = :80ss dport = :httpss dport > :1024ss sport > :1024ss sport < :32000ss sport eq :22ss dport != :22ss state connected sport = :httpss ( sport = :http or sport = :https )ss -o state fin-wait-1 ( sport = :http or sport = :https ) dst 192.168.1/24

為什么ss比netstat快：

netstat是遍歷/proc下面每個PID目錄，ss直接讀/proc/net下面的統(tǒng)計信息。所以ss執(zhí)行的時候消耗資源以及消耗的時間都比netstat少很多

ss命令幫助

# ss -hUsage: ss [ OPTIONS ] ss [ OPTIONS ] [ FILTER ] -h, --help this message -V, --version output version information -n, --numeric don't resolve service names -r, --resolve resolve host names -a, --all display all sockets -l, --listening display listening sockets -o, --options show timer information -e, --extended show detailed socket information -m, --memory show socket memory usage -p, --processes show process using socket-i,--infoshowinternalTCPinformation-s,--summaryshowsocketusagesummary -4, --ipv4 display only IP version 4 sockets -6, --ipv6 display only IP version 6 sockets -0, --packet display PACKET sockets -t, --tcp display only TCP sockets -u, --udp display only UDP sockets -d, --dccp display only DCCP sockets -w, --raw display only RAW sockets -x, --unix display only Unix domain sockets-f,--family=FAMILYdisplaysocketsoftypeFAMILY -A, --query=QUERY, --socket=QUERYQUERY:={all|inet|tcp|udp|raw|unix|packet|netlink}[,QUERY] -D, --diag=FILE Dump raw information about TCP sockets to FILE -F, --filter=FILE read filter information from FILE FILTER := [ state TCP-STATE ] [ EXPRESSION ]

責任編輯：lq