linux命令：ss命令.doc

转载注明出处：/peida/archive/2013/03/11/2953420.html感谢博主的分享！每天一个linux命令（57）：ss命令ss是SocketStatistics的缩写。顾名思义，ss命令可以用来获取socket统计信息，它可以显示和netstat类似的内容。但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息，而且比netstat更快速更高效。当服务器的socket连接数量变得非常大时，无论是使用netstat命令还是直接cat/proc/net/tcp，执行速度都会很慢。可能你不会有切身的感受，但请相信我，当服务器维持的连接达到上万个的时候，使用netstat等于浪费生命，而用ss才是节省时间。天下武功唯快不破。ss快的秘诀在于，它利用到了TCP协议栈中tcp_diag。tcp_diag是一个用于分析统计的模块，可以获得Linux内核中第一手的信息，这就确保了ss的快捷高效。当然，如果你的系统中没有tcp_diag，ss也可以正常运行，只是效率会变得稍慢。（但仍然比netstat要快。）1.命令格式:ss参数ss参数过滤2.命令功能：ss(SocketStatistics的缩写)命令可以用来获取socket统计信息，此命令输出的结果类似于netstat输出的内容，但它能显示更多更详细的TCP连接状态的信息，且比netstat更快速高效。它使用了TCP协议栈中tcp_diag（是一个用于分析统计的模块），能直接从获得第一手内核信息，这就使得ss命令快捷高效。在没有tcp_diag，ss也可以正常运行。3.命令参数：-h,-help 帮助信息-V,-version 程序版本信息-n,-numeric 不解析服务名称-r,-resolve解析主机名-a,-all 显示所有套接字（sockets）-l,-listening 显示监听状态的套接字（sockets）-o,-options显示计时器信息-e,-extended显示详细的套接字（sockets）信息-m,-memory显示套接字（socket）的内存使用情况-p,-processes 显示使用套接字（socket）的进程-i,-info 显示TCP内部信息-s,-summary 显示套接字（socket）使用概况-4,-ipv4仅显示IPv4的套接字（sockets）-6,-ipv6仅显示IPv6的套接字（sockets）-0,-packet 显示PACKET套接字（socket）-t,-tcp 仅显示TCP套接字（sockets）-u,-udp 仅显示UCP套接字（sockets）-d,-dccp 仅显示DCCP套接字（sockets）-w,-raw 仅显示RAW套接字（sockets）-x,-unix 仅显示Unix套接字（sockets）-f,-family=FAMILY显示FAMILY类型的套接字（sockets），FAMILY可选，支持unix,inet,inet6,link,netlink-A,-query=QUERY,-socket=QUERYQUERY:=all|inet|tcp|udp|raw|unix|packet|netlink,QUERY-D,-diag=FILE将原始TCP套接字（sockets）信息转储到文件-F,-filter=FILE从文件中都去过滤器信息FILTER:=stateTCP-STATEEXPRESSION4.使用实例：实例1：显示TCP连接命令：ss-t-a输出：rootlocalhost#ss-t-aStateRecv-QSend-QLocalAddress:PortPeerAddress:PortLISTEN00:smux*:*LISTEN00*:3690*:*LISTEN00*:ssh*:*ESTAB0004:ssh8:49368rootlocalhost#说明：实例2：显示Sockets摘要命令：ss-s输出：rootlocalhost#ss-sTotal:34(kernel48)TCP:4(estab1,closed0,orphaned0,synrecv0,timewait0/0),ports3TransportTotalIPIPv6*48-RAW000UDP550TCP440INET990FRAG000rootlocalhost#说明：列出当前的established,closed,orphanedandwaitingTCPsockets实例3：列出所有打开的网络连接端口命令：ss-l输出：rootlocalhost#ss-lRecv-QSend-QLocalAddress:PortPeerAddress:Port00:smux*:*00*:3690*:*00*:ssh*:*rootlocalhost#说明：实例4：查看进程使用的socket命令：ss-pl输出：rootlocalhost#ss-plRecv-QSend-QLocalAddress:PortPeerAddress:Port00:smux*:*users:(snmpd,2716,8)00*:3690*:*users:(svnserve,3590,3)00*:ssh*:*users:(sshd,2735,3)rootlocalhost#说明：实例5：找出打开套接字/端口应用程序命令：ss-lp|grep3306输出：rootlocalhost#ss-lp|grep193500*:1935*:*users:(fmsedge,2913,18)00:19350*:*users:(fmsedge,2913,17)rootlocalhost#ss-lp|grep330600*:3306*:*users:(mysqld,2871,10)rootlocalhost#说明：实例6：显示所有UDPSockets命令：ss-u-a输出：rootlocalhost#ss-u-aStateRecv-QSend-QLocalAddress:PortPeerAddress:PortUNCONN00:syslog*:*UNCONN00*:snmp*:*ESTAB0003:396419:domainrootlocalhost#说明：实例7：显示所有状态为established的SMTP连接命令：ss-ostateestablished(dport=:smtporsport=:smtp)输出：rootlocalhost#ss-ostateestablished(dport=:smtporsport=:smtp)Recv-QSend-QLocalAddress:PortPeerAddress:Portrootlocalhost#说明：实例8：显示所有状态为Established的HTTP连接命令：ss-ostateestablished(dport=:httporsport=:http)输出：rootlocalhost#ss-ostateestablished(dport=:httporsport=:http)Recv-QSend-QLocalAddress:PortPeerAddress:Port0014:21642:httprootlocalhost#说明：实例9：列举出处于FIN-WAIT-1状态的源端口为80或者443，目标网络为193.233.7/24所有tcp套接字命令：ss-ostatefin-wait-1(sport=:httporsport=:https)dst193.233.7/24输出：说明：实例10：用TCP状态过滤Sockets:命令：ss-4stateFILTER-NAME-HEREss-6stateFILTER-NAME-HERE输出：rootlocalhost#ss-4stateclosingRecv-QSend-QLocalAddress:PortPeerAddress:Port11109414:http2:4669说明：FILTER-NAME-HERE可以代表以下任何一个：establishedsyn-sentsyn-recvfin-wait-1fin-wait-2time-waitclosedclose-waitlast-acklistenclosingall:所有以上状态connected:除了listenandclosed的所有状态synchronized:所有已连接的状态除了syn-sentbucket:显示状态为maintainedasminisockets,如：time-wait和syn-recv.big:和bucket相反.实例11：匹配远程地址和端口号命令：ssdstADDRESS_PATTERNssdstssdst13:httpssdst13:smtpssdst13:443输出：rootlocalhost#ssdst13StateRecv-QSend-QLocalAddress:PortPeerAddress:PortESTAB0003:1601413:20229ESTAB0003:1601413:61056ESTAB0003:1601413:61623ESTAB0003:1601413:60924ESTAB0003:1605013:43701ESTAB0003:1607313:32930ESTAB0003:1607313:49318ESTAB0003:1601413:3844rootlocalhost#ssdst13:httpStateRecv-QSend-QLocalAddress:PortPeerAddress:Portrootlocalhost#ssdst13:3844StateRecv-QSend-QLocalAddress:PortPeerAddress:PortESTAB0003:1601413:3844rootlocalhost#说明：实例12：匹配本地地址和端口号命令：sssrcADDRESS_PATTERNsssrc03sssrc03:httpsssrc03:80sssrc03:smtpsssrc03:25输出：rootlocalhost#sssrc03:16021StateRecv-QSend-QLocalAddress:PortPeerAddress:PortESTAB0003:1602101:63054ESTAB0003:1602101:62894ESTAB0003:1602101:63055ESTAB0003:1602101:2274ESTAB0003:1602101:44784ESTAB0003:1602101:7233ESTAB0003:1602103:58660ESTAB0003:1602101:44822ESTAB0003:160206:56737ESTAB0003:160206:57487ESTAB0003:160206:56736ESTAB0003:160206:64652ESTAB0003:160206:56586ESTAB0003:160206:64653ESTAB0003:160206:56587rootlocalhost#说明：实例13：将本地或者远程端口和一个数比较命令：ssdportOPPORTsssportOPPORT输出：rootlocalhost#sssport=:httprootlocalhost#ssdport=:httprootlocalhost#ssdport:1024rootlocalhost