Linux中netstat命令操作實(shí)例匯總(2)

　　說明：

　　從整體上看，netstat的輸出結(jié)果可以分為兩個(gè)部分：

　　一個(gè)是Active Internet connections，稱為有源TCP連接，其中“Recv-Q”和“Send-Q”指的是接收隊(duì)列和發(fā)送隊(duì)列。這些數(shù)字一般都應(yīng)該是0。如果不是則表示軟件包正在隊(duì)列中堆積。這種情況只能在非常少的情況見到。

　　另一個(gè)是Active UNIX domain sockets，稱為有源Unix域套接口（和網(wǎng)絡(luò)套接字一樣，但是只能用于本機(jī)通信，性能可以提高一倍）。

　　Proto顯示連接使用的協(xié)議，RefCnt表示連接到本套接口上的進(jìn)程號，Types顯示套接口的類型，State顯示套接口當(dāng)前的狀態(tài)，Path表示連接到套接口的其它進(jìn)程使用的路徑名。

　　套接口類型：

　　-t ：TCP

　　-u ：UDP

　　-raw ：RAW類型

　　--unix ：UNIX域類型

　　--ax25 ：AX25類型

　　--ipx ：ipx類型

　　--netrom ：netrom類型

　　狀態(tài)說明：

　　LISTEN：偵聽來自遠(yuǎn)方的TCP端口的連接請求

　　SYN-SENT：再發(fā)送連接請求后等待匹配的連接請求（如果有大量這樣的狀態(tài)包，檢查是否中招了）

　　SYN-RECEIVED：再收到和發(fā)送一個(gè)連接請求后等待對方對連接請求的確認(rèn)（如有大量此狀態(tài)，估計(jì)被flood攻擊了）

　　ESTABLISHED：代表一個(gè)打開的連接

　　FIN-WAIT-1：等待遠(yuǎn)程TCP連接中斷請求，或先前的連接中斷請求的確認(rèn)

　　FIN-WAIT-2：從遠(yuǎn)程TCP等待連接中斷請求

　　CLOSE-WAIT：等待從本地用戶發(fā)來的連接中斷請求

　　CLOSING：等待遠(yuǎn)程TCP對連接中斷的確認(rèn)

　　LAST-ACK：等待原來的發(fā)向遠(yuǎn)程TCP的連接中斷請求的確認(rèn)（不是什么好東西，此項(xiàng)出現(xiàn)，檢查是否被攻擊）

　　TIME-WAIT：等待足夠的時(shí)間以確保遠(yuǎn)程TCP接收到連接中斷請求的確認(rèn)

　　CLOSED：沒有任何連接狀態(tài)

　　實(shí)例2：列出所有端口

　　命令：netstat -a

　　輸出：

　　代碼如下：

　　［root@localhost ~］# netstat -a

　　Active Internet connections （servers and established）

　　Proto Recv-Q Send-Q Local Address Foreign Address State

　　tcp 0 0 localhost:smux *：* LISTEN

　　tcp 0 0 *：svn *：* LISTEN

　　tcp 0 0 *：ssh *：* LISTEN

　　tcp 0 284 192.168.120.204:ssh 10.2.0.68:62420 ESTABLISHED

　　udp 0 0 localhost:syslog *：*

　　udp 0 0 *：snmp *：*

　　Active UNIX domain sockets （servers and established）

　　Proto RefCnt Flags Type State I-Node Path

　　unix 2 ［ ACC ］ STREAM LISTENING 708833 /tmp/ssh-yKnDB15725/agent.15725

　　unix 2 ［ ACC ］ STREAM LISTENING 7296 /var/run/audispd_events

　　unix 2 ［ ］ DGRAM 1491 @/org/kernel/udev/udevd

　　unix 4 ［ ］ DGRAM 7337 /dev/log

　　unix 2 ［ ］ DGRAM 708823

　　unix 2 ［ ］ DGRAM 7539

　　unix 3 ［ ］ STREAM CONNECTED 7287

　　unix 3 ［ ］ STREAM CONNECTED 7286

　�。踨oot@localhost ~］#

　　說明：

　　顯示一個(gè)所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監(jiān)聽連接請（LISTENING）的那些連接。

　　實(shí)例3：顯示當(dāng)前UDP連接狀況

　　命令：netstat -nu

　　輸出：

　　代碼如下：

　　［root@andy ~］# netstat -nu

　　Active Internet connections （w/o servers）

　　Proto Recv-Q Send-Q Local Address Foreign Address State

　　udp 0 0 ：：ffff:192.168.12:53392 ：：ffff:192.168.9.120:10000 ESTABLISHED

　　udp 0 0 ：：ffff:192.168.12:56723 ：：ffff:192.168.9.120:10000 ESTABLISHED

　　udp 0 0 ：：ffff:192.168.12:56480 ：：ffff:192.168.9.120:10000 ESTABLISHED

　　udp 0 0 ：：ffff:192.168.12:58154 ：：ffff:192.168.9.120:10000 ESTABLISHED

　　udp 0 0 ：：ffff:192.168.12:44227 ：：ffff:192.168.9.120:10000 ESTABLISHED

　　udp 0 0 ：：ffff:192.168.12:36954 ：：ffff:192.168.9.120:10000 ESTABLISHED

　　udp 0 0 ：：ffff:192.168.12:53984 ：：ffff:192.168.9.120:10000 ESTABLISHED

　　udp 0 0 ：：ffff:192.168.12:57703 ：：ffff:192.168.9.120:10000 ESTABLISHED

　　udp 0 0 ：：ffff:192.168.12:53613 ：：ffff:192.168.9.120:10000 ESTABLISHED

　�。踨oot@andy ~］#