马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
netstat -ul
' z, m6 r2 L( z0 b' HActive Internet connections (only servers)
0 l, `0 v$ [: E) L# GProto Recv-Q Send-Q Local Address Foreign Address State
7 I+ ^- {, K. w- y0 m4 Hudp 0 0 172.20.98.218:ntp *:* , B* J2 L v7 S+ ^- O4 q
udp 0 0 localhost:ntp *:*
% ?; y: h J( H y% N3 i7 _+ gudp 0 0 *:ntp *:* ) {/ y+ H9 h; D- f+ P. b
udp 0 0 *:syslog *:*
" p6 m) c8 L* t/ Jgetnameinfo failed
) _. z* Q$ W4 p, |udp6 0 0 [UNKNOWN]:ntp [::]:*
+ H7 a) ]7 `9 b$ m6 q3 Judp6 0 0 ip6-localhost:ntp [::]:*
! `" ?/ \: E* l6 Tudp6 0 0 [::]:ntp [::]:*
+ K, U) j3 W8 S9 Z K8 W A7 p; k/ j& Qudp6 0 0 [::]:syslog [::]:*
) D3 n1 U5 [2 V0 H3 V1 c! Q& [
' s e$ q8 {9 V' {. O" ~/ Z0 F7 K. J" a E% n: S" B
1. 列出所有端口 (包括监听和未监听的) 列出所有端口 netstat -a [backcolor=rgb(245, 245, 245) !important][url=][/url]
, z- V. m8 G% V' d7 B# netstat -a | more
/ ?' ]1 |, B$ r% y# C! D Active Internet connections (servers and established)
, _( j+ z+ }) [/ t% ]. Z Proto Recv-Q Send-Q Local Address Foreign Address State
3 O" I. k6 J$ O6 p2 `" m tcp 0 0 localhost:30037 *:* LISTEN6 j' G& q1 Y ]) }3 z! r6 K
udp 0 0 *:bootpc *:*
8 r4 ^3 w' V7 ~ o( H
, p H \' v9 D h0 NActive UNIX domain sockets (servers and established)2 Y. l3 w8 p4 }2 j$ g+ S
Proto RefCnt Flags Type State I-Node Path
- G) b: j5 q( p& B: T# ^" @ unix 2 [ ACC ] STREAM LISTENING 6135 /tmp/.X11-unix/X0
_% I+ t2 o) t- V% g/ k1 ] unix 2 [ ACC ] STREAM LISTENING 5140 /var/run/acpid.socket[backcolor=rgb(245, 245, 245) !important][url=][/url]9 h$ S& v( {: w/ X7 I1 E& ?
/ @0 p3 G& U* @9 p* C, ?: Q! \( h6 n) Z- R# Q- i
7 e: @. n$ A- y' ]! O
列出所有 tcp 端口 netstat -at [backcolor=rgb(245, 245, 245) !important][url=][/url]
' b- u; G, L4 p, M9 a% y6 M# netstat -at$ _0 q/ |0 A2 N8 u, n
Active Internet connections (servers and established), j- ^# C6 Y6 L+ m3 x
Proto Recv-Q Send-Q Local Address Foreign Address State" `' K/ P2 w" d
tcp 0 0 localhost:30037 *:* LISTEN
: m0 X/ d! n1 |! o tcp 0 0 localhost:ipp *:* LISTEN
) E: L3 o# K, I# F) b |0 p tcp 0 0 *:smtp *:* LISTEN
& ^8 J# l/ ~$ [" G! g# a! T tcp6 0 0 localhost:ipp [::]:* LISTEN[backcolor=rgb(245, 245, 245) !important][url=][/url]
t( T& U$ F3 ]" u7 U9 h1 x6 @+ Y9 y; P* u( J! x
. O8 q: n! a0 Z, c9 h; ~8 S
+ f6 n3 t1 u {/ s
列出所有 udp 端口 netstat -au # netstat -au
' E! R2 c5 O. P5 a! P& E Active Internet connections (servers and established); Z$ g* H7 s3 g B& l; q( A* P0 n! k: ]
Proto Recv-Q Send-Q Local Address Foreign Address State
I2 T! L, {: ^( d udp 0 0 *:bootpc *:*3 p/ Y6 p% j- q7 s
udp 0 0 *:49119 *:*
. P" p, b( r6 w# V2 Z* t8 }# E6 e udp 0 0 *:mdns *:*
! R# w" m ]0 L
' h( n2 K( V& |( Q7 m
: Q8 t. }1 K& i. t7 V) {4 Z 2. 列出所有处于监听状态的 Sockets 只显示监听端口 netstat -l # netstat -l) F% A/ T/ @7 ]$ W) b
Active Internet connections (only servers)5 v' C6 W; z# U8 j- ?
Proto Recv-Q Send-Q Local Address Foreign Address State
/ e' F: V8 B5 r' D4 `. e1 |( t tcp 0 0 localhost:ipp *:* LISTEN7 m4 L- J4 F' K0 w6 F
tcp6 0 0 localhost:ipp [::]:* LISTEN
2 {8 X: J9 N ~+ n! ?$ N udp 0 0 *:49119 *:*
8 Z$ q5 i3 Z3 D" V+ N2 v0 g. a, k4 u! X
% A3 u1 E: N J3 E" I
只列出所有监听 tcp 端口 netstat -lt # netstat -lt
% B1 l+ M, _1 j6 ^8 e Active Internet connections (only servers)
3 D; C% y2 J- l7 Z& Q Proto Recv-Q Send-Q Local Address Foreign Address State3 i7 \- f6 c9 W( r0 N$ S
tcp 0 0 localhost:30037 *:* LISTEN, a0 [; W( P5 E9 x1 ~# N5 h
tcp 0 0 *:smtp *:* LISTEN" n; S' N+ X$ K. V2 R( D
tcp6 0 0 localhost:ipp [::]:* LISTEN
7 O, s9 A' H: _2 H8 C& Q7 K" D* z" x
% t! f! m* e1 J2 ?+ F0 f
只列出所有监听 udp 端口 netstat -lu # netstat -lu
& {7 ?. ~! t- P* [ Active Internet connections (only servers)
' X( d6 Y2 D. U0 p( a Proto Recv-Q Send-Q Local Address Foreign Address State
9 f7 o2 g! }! ~/ l udp 0 0 *:49119 *:*" E6 p% O( [, @' ^' f
udp 0 0 *:mdns *:*
" ^9 w3 m' N1 n# L
& Y% `% D0 }, ~, ]' v/ j" ]$ O. o% u" I/ q# y R- }
只列出所有监听 UNIX 端口 netstat -lx [backcolor=rgb(245, 245, 245) !important][url=][/url]8 C- v: Y- `4 n, I. X9 K6 m
# netstat -lx
1 J Q" O% v2 c, l; R# n7 g' Q Active UNIX domain sockets (only servers)* q+ s r. {0 N5 D
Proto RefCnt Flags Type State I-Node Path
3 V2 e e" P* { unix 2 [ ACC ] STREAM LISTENING 6294 private/maildrop$ x8 J% M5 ~3 a2 l9 B. }
unix 2 [ ACC ] STREAM LISTENING 6203 public/cleanup
' m1 a4 n8 A0 y0 c2 c* f& E: m unix 2 [ ACC ] STREAM LISTENING 6302 private/ifmail
3 N6 ?# I$ q0 }) X, Z. W' I unix 2 [ ACC ] STREAM LISTENING 6306 private/bsmtp[backcolor=rgb(245, 245, 245) !important][url=][/url]
1 n: G/ R- J) u/ ]) `& l
1 \) `5 M# S* K& Y( M
% P' D3 y9 Z( o/ L# [' _7 ]% l: t" \) ~5 d! Y
6 ~! v* P4 F. B5 y2 o" g
1 F4 Q3 x, w: e2 a+ s2 a- B F3. 显示每个协议的统计信息 显示所有端口的统计信息 netstat -s [backcolor=rgb(245, 245, 245) !important][url=][/url]
: C" h0 C8 Z( W+ v# netstat -s! c" x; @; u% X( g$ b
Ip:
' B, y! Z7 \) q* H' r% L, A 11150 total packets received& C# F6 ?! g# j" C$ v' t6 K6 Z% ~
1 with invalid addresses
0 u! Z( i" U/ s* @- T+ x- } 0 forwarded/ L% `2 [- w, r( O7 P& J
0 incoming packets discarded
: f' l+ W' h, W/ ?+ ~ 11149 incoming packets delivered
+ m9 N: T; e+ K+ _ 11635 requests sent out
& j( J$ `2 u! B Icmp:
) ?7 p v: u1 H# f+ c 0 ICMP messages received
( `7 q3 k; w. y% N 0 input ICMP message failed./ }9 a" ]# J2 R0 D3 p6 }
Tcp:; V) u/ }: ^4 l5 m( D _- |
582 active connections openings# ^6 F& f; I) c f! I0 e
2 failed connection attempts) @( g5 @4 s' W: l/ J% C
25 connection resets received
6 f# K3 {+ a: B# D Udp:
- o) {2 M7 y# Z* L+ l+ _% T 1183 packets received
2 y* {9 X, k( i, s$ q/ {% V 4 packets to unknown port received.8 u4 j9 Z7 F+ D
.....[backcolor=rgb(245, 245, 245) !important][url=][/url]
/ S. r1 g0 F- l, ]- C7 P# o7 n$ Y8 j- H9 q" v
! ^6 K8 {- ^ i" c0 n6 d/ {
+ ?# L2 H# ~+ w1 s ?$ B
显示 TCP 或 UDP 端口的统计信息 netstat -st 或 -su # netstat -st $ E% Q* I0 F7 ^
# netstat -su
[9 P q7 ^2 `, c( g$ T
0 e4 ~6 s4 l* N4 s! B3 k5 N# x3 ?: D& H$ n3 [
4. 在 netstat 输出中显示 PID 和进程名称 netstat -pnetstat -p 可以与其它开关一起使用,就可以添加 “PID/进程名称” 到 netstat 输出中,这样 debugging 的时候可以很方便的发现特定端口运行的程序。 # netstat -pt
" X) g4 k: z9 O0 x Active Internet connections (w/o servers)/ y9 K; B9 m: |) ]
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
W: U8 d6 U4 w& s" g tcp 1 0 ramesh-laptop.loc:47212 192.168.185.75:www CLOSE_WAIT 2109/firefox
! z* ~9 c) t4 c7 I tcp 0 0 ramesh-laptop.loc:52750 lax:www ESTABLISHED 2109/firefox
8 Y& h3 a8 a+ e; k- n* r5 s& K1 J$ g! i1 p6 ^5 Z
+ V/ B& P( G9 @) n$ e; @
5. 在 netstat 输出中不显示主机,端口和用户名 (host, port or user)当你不想让主机,端口和用户名显示,使用 netstat -n。将会使用数字代替那些名称。 同样可以加速输出,因为不用进行比对查询。 # netstat -an
. a1 F3 o3 o# Z+ s1 a2 V
- o: z4 ~) F8 m8 k$ b
9 M# D1 ~8 J. s# D$ u7 w如果只是不想让这三个名称中的一个被显示,使用以下命令 # netsat -a --numeric-ports
& m g# v# Z+ @0 K4 I. Y6 B& |2 `# netsat -a --numeric-hosts4 E7 {* d9 e" o* v d; K
# netsat -a --numeric-users
$ b F) p8 f& S+ m+ C9 V! E4 C) Y) `6 V _) m
\5 |3 g; M2 `8 z% u! Q1 _0 H 6. 持续输出 netstat 信息netstat 将每隔一秒输出网络信息。 [backcolor=rgb(245, 245, 245) !important][url=][/url]3 [5 ~9 }) a7 P
# netstat -c
$ Q! m1 o, S `, |4 Y2 _) a Active Internet connections (w/o servers)
% h0 P: O0 ^ Q$ C, b Proto Recv-Q Send-Q Local Address Foreign Address State
/ y' E9 V: D' y- F tcp 0 0 ramesh-laptop.loc:36130 101-101-181-225.ama:www ESTABLISHED
+ ?# e% [! }; G0 k) ~ tcp 1 1 ramesh-laptop.loc:52564 101.11.169.230:www CLOSING
* o% l# b: J: ~ h) \* W) ^8 U tcp 0 0 ramesh-laptop.loc:43758 server-101-101-43-2:www ESTABLISHED
* \. T6 H' @0 ~8 F tcp 1 1 ramesh-laptop.loc:42367 101.101.34.101:www CLOSING6 q1 d; X) M! `7 w; \7 `
^C[backcolor=rgb(245, 245, 245) !important][url=][/url]2 A& Y( I) E& U: p6 q
4 A0 o+ d; _! H6 x+ _) ~- |( k! e6 z/ L
2 ~; D( ]7 ~+ V) R4 T, l- P
" ?% \1 |( `5 r7 } 7. 显示系统不支持的地址族 (Address Families)netstat --verbose5 d* A$ t2 g* Y' }
' q7 w) ~/ ^$ q7 L* k2 Y
# C" }' S2 I; d1 r" O在输出的末尾,会有如下的信息 netstat: no support for `AF IPX' on this system.6 u' L$ s& h& Z8 D
netstat: no support for `AF AX25' on this system.
3 O/ a4 ?$ c" W, g: v9 Y rnetstat: no support for `AF X25' on this system.8 a: g% e" F/ `1 U
netstat: no support for `AF NETROM' on this system.
3 M @2 q+ ]% b( }9 `2 w/ Y! j
* X. W5 X6 B/ P' T5 A! \" Q( J2 ~* R0 t; m
8. 显示核心路由信息 netstat -r# netstat -r
) `* q2 [' I( P& M& e" W Kernel IP routing table+ V4 z8 B4 C b7 Q: T& ]
Destination Gateway Genmask Flags MSS Window irtt Iface
: P% n/ P, M9 {8 p+ d 192.168.1.0 * 255.255.255.0 U 0 0 0 eth2& d: k8 N9 E. C: x
link-local * 255.255.0.0 U 0 0 0 eth2
! k4 S& z6 I% g0 \/ E Y, }+ L0 J8 Q default 192.168.1.1 0.0.0.0 UG 0 0 0 eth2- L- w7 i) Q* | d5 k( ?% i6 H- @' E
7 m Z* i$ X3 u! s; G2 q. y- J1 p+ o7 O) m9 }- C
注意: 使用 netstat -rn 显示数字格式,不查询主机名称。 9. 找出程序运行的端口并不是所有的进程都能找到,没有权限的会不显示,使用 root 权限查看所有的信息。 # netstat -ap | grep ssh6 J$ O0 @# d4 y4 `5 G
tcp 1 0 dev-db:ssh 101.174.100.22:39213 CLOSE_WAIT -7 B6 @- w7 k; ~6 Q' j
tcp 1 0 dev-db:ssh 101.174.100.22:57643 CLOSE_WAIT -6 c0 F! _* `4 o0 y
6 H7 _$ f% L" @* e
5 j4 c2 j! k* h$ Y& d9 C' J& ` 找出运行在指定端口的进程 # netstat -an | grep ':80'2 j& Q: j- N6 w" O2 f5 s
, o1 G H0 r. w
9 ~( u' y7 F* z! s 10. 显示网络接口列表# netstat -i/ L- U- z% }. @) u$ P" }8 u
Kernel Interface table
; |9 v1 u, F; p) y! l9 o Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
( A% u8 \6 q4 K* ? eth0 1500 0 0 0 0 0 0 0 0 0 BMU e* v# w8 c5 {8 D4 G8 i) @* G9 \: m
eth2 1500 0 26196 0 0 0 26883 6 0 0 BMRU
) Z r: q$ U- f0 `) g! ? lo 16436 0 4 0 0 0 4 0 0 0 LRU
1 h, P' y% @1 d z K/ U" h( j5 W8 g: C4 S/ V6 \+ Z; y. l
+ ]2 _6 F8 N. z( k0 H$ l- p7 O g
显示详细信息,像是 ifconfig 使用 netstat -ie: [backcolor=rgb(245, 245, 245) !important][url=][/url]
, x6 n+ `5 F# w8 U0 D# netstat -ie
$ f8 x2 U9 O' ]. A2 J* S Kernel Interface table; A! p; m2 l! a$ x5 D- [& ?
eth0 Link encap:Ethernet HWaddr 00:10:40:11:11:11" | P4 w$ t6 B: A2 k' U
UP BROADCAST MULTICAST MTU:1500 Metric:12 l' h, ` d% `1 S' @
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
1 O6 u2 @( z5 z- q7 S% G# E" n" V/ f TX packets:0 errors:0 dropped:0 overruns:0 carrier:0% a* h$ }8 \# R4 A* ~7 x6 k2 ]
collisions:0 txqueuelen:1000
7 b! K8 Y. L9 i \ RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
# C3 @/ c- C/ k$ ~ Memory:f6ae0000-f6b00000[backcolor=rgb(245, 245, 245) !important][url=][/url]
# i6 r! W6 x, @- `/ O* e r& d1 W; O4 y1 a: y4 ^
11. IP和TCP分析 查看连接某服务端口最多的的IP地址 [backcolor=rgb(245, 245, 245) !important][url=][/url]
3 X/ @4 E3 |3 k8 K( w- owss8848@ubuntu:~$ netstat -nat | grep "192.168.1.15:22" |awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -200 b' Y2 |' a5 v z0 j% E7 c. a" Y, \6 u
18 221.136.168.367 F! u5 h6 E: s
3 154.74.45.242
$ t/ \+ T( H! v3 e6 ?6 R7 V2 78.173.31.236! D- f, o5 }: O9 y G& L
2 62.183.207.98
$ U2 ?$ J2 ~, O4 U2 192.168.1.14
, @! i: }/ y' [" e* {# [2 182.48.111.2150 S! _/ N7 [. Q* S |' Y
2 124.193.219.34
2 N' u2 D# o8 \4 L2 119.145.41.2
4 Q1 k" ^+ H$ ?" f* Q# L6 Z2 114.255.41.30
, `9 J0 r3 |! Z! f! D1 75.102.11.99[backcolor=rgb(245, 245, 245) !important][url=][/url]7 j) B4 n8 U4 z9 V! Q$ \! a
7 a' T0 o* T: h7 G TCP各种状态列表 [backcolor=rgb(245, 245, 245) !important][url=][/url]
- o1 T! j5 u6 z. p/ d& Rwss8848@ubuntu:~$ netstat -nat |awk '{print $6}'- @/ n& v( M1 J" h8 ?/ Z' ]& L
established)
. T, r. A# X( I& b+ ?- F0 A7 JForeign
0 ?! X$ l$ a4 L8 e/ `6 t, y+ e% |LISTEN
- d/ }1 W3 G; aTIME_WAIT
0 P) R* C0 c+ b4 k9 n2 ], A5 mESTABLISHED
1 l6 y f* ^+ lTIME_WAIT5 Q8 }$ A9 L' N0 n
SYN_SENT[backcolor=rgb(245, 245, 245) !important][url=][/url]$ H P. k7 r/ j$ V& m9 A& M
( N, A7 a' v3 a4 l 先把状态全都取出来,然后使用uniq -c统计,之后再进行排序。[backcolor=rgb(245, 245, 245) !important][url=][/url]& g# R) b, H: Z2 e8 J7 x
wss8848@ubuntu:~$ netstat -nat |awk '{print $6}'|sort|uniq -c
. D3 l" U5 v5 f0 H' ], F6 L143 ESTABLISHED
" m: Z" V6 [8 m) }; B6 b1 FIN_WAIT1+ M* c9 p0 t6 J9 l
1 Foreign
4 C% s, X6 s$ f* y7 P8 i2 ?: w' f1 LAST_ACK. j( ^& H( Y3 g9 T' ^! X9 a
36 LISTEN! h' q2 u5 y' v6 | O5 \( D) L Z
6 SYN_SENT4 X, c- H. z2 s( F) _
113 TIME_WAIT7 y( ^5 L5 g& j7 G2 T* { w
1 established)[backcolor=rgb(245, 245, 245) !important][url=][/url]; K: l2 n7 F& K# L8 I) q! _. J# \
9 l0 n+ c. ?6 U7 t. m 最后的命令如下:netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn
, c% n8 Z. n- K- M' R; a. ~分析access.log获得访问前10位的ip地址awk '{print $1}' access.log |sort|uniq -c|sort -nr|head -100 G1 r4 H# y# z4 A0 Z
1 n0 L, T# m0 A7 k
* G$ C7 ^. ]0 `3 q; | |
/4 
|返回首页|Archiver|小黑屋|易陆发现技术论坛
( 蜀ICP备2026014127号-1 )
窥视卡
雷达卡
发表于 2019-5-30 12:50:10
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜