ss命令詳解

時間 2019-11-10

標籤命令詳解简体版

原文原文鏈接

原文連接：https://www.jb51.net/article/135414.htmlinux

ss 是 Socket Statistics 的縮寫。ss 命令能夠用來獲取 socket 統計信息，它顯示的內容和 netstat 相似。但 ss 的優點在於它可以顯示更多更詳細的有關 TCP 和鏈接狀態的信息，並且比 netstat 更快。當服務器的 socket 鏈接數量變得很是大時，不管是使用 netstat 命令仍是直接 cat /proc/net/tcp，執行速度都會很慢。ss 命令利用到了 TCP 協議棧中 tcp_diag。tcp_diag 是一個用於分析統計的模塊，能夠得到 Linux 內核中第一手的信息，所以 ss 命令的性能會好不少。swift

經常使用選項bash

-h, --help 幫助
-V, --version 顯示版本號
-t, --tcp 顯示 TCP 協議的 sockets
-u, --udp 顯示 UDP 協議的 sockets
-x, --unix 顯示 unix domain sockets，與 -f 選項相同
-n, --numeric 不解析服務的名稱，如 "22" 端口不會顯示成 "ssh"
-l, --listening 只顯示處於監聽狀態的端口
-p, --processes 顯示監聽端口的進程(Ubuntu 上須要 sudo)
-a, --all 對 TCP 協議來講，既包含監聽的端口，也包含創建的鏈接
-r, --resolve 把 IP 解釋爲域名，把端口號解釋爲協議名稱服務器

常見用例網絡

若是不添加選項 ss 命令默認輸出全部創建的鏈接(不包含監聽的端口)，包括 tcp, udp, and unix socket 三種類型的鏈接：併發

查看主機監聽的端口dom

1	`$ ss -tnl`

經過 -r 選項解析 IP 和端口號ssh

1	`$ ss -tlr`

使用 -p 選項查看監聽端口的程序名稱socket

1	`$` `sudo` `ss -tlp`

最後一列就是運行的程序名稱。還能夠經過 grep 繼續過濾：

1	`$` `sudo` `ss -tlp \|` `grep` `ssh`

查看創建的 TCP 鏈接

-a --all 對 TCP 協議來講，既包含監聽的端口，也包含創建的鏈接

1	`$ ss -tna`

顯示更多的信息

-o, --options 顯示時間信息
-m, --memory 顯示 socket 使用的內存
-i, --info 顯示更多 TCP 內部的信息

顯示概要信息

$ ss -s

dst/src dport/sport 語法

能夠經過 dst/src/dport/sprot 語法來過濾鏈接的來源和目標，來源端口和目標端口。

匹配遠程地址和端口號

 
         $ ss dst 192.168.1.5 
        
         $ ss dst 192.168.119.113:http 
        
         $ ss dst 192.168.119.113:443

匹配本地地址和端口號

 
         $ ss src 192.168.119.103 
        
         $ ss src 192.168.119.103:http 
        
         $ ss src 192.168.119.103:80

將本地或者遠程端口和一個數比較

可使用下面的語法作端口號的過濾：

1 2	`$ ss dport OP PORT` `$ ss sport OP PORT`

OP 能夠表明如下任意一個：

<=	le	小於或等於某個端口號
>=	ge	大於或等於某個端口號
==	eq	等於某個端口號
!=	ne	不等於某個端口號
>	gt	大於某個端口號
<	lt	小於某個端口號

下面是一個簡單的 demo(注意，須要對尖括號使用轉義符)：

1 2	`$ ss -tunl sport lt 50` `$ ss -tunl sport \< 50`

經過 TCP 的狀態進行過濾

ss 命令還能夠經過 TCP 鏈接的狀態進程過濾，支持的 TCP 協議中的狀態有：
established
syn-sent
syn-recv
fin-wait-1
fin-wait-2
time-wait
closed
close-wait
last-ack
listening
closing

除了上面的 TCP 狀態，還可使用下面這些狀態：

all	列出全部的 TCP 狀態。
connected	列出除了 listening 和 closing 以外的全部 TCP 狀態。
synchronized	列出除了 syn-sent 以外的全部 TCP 狀態。
bucket	列出 maintained 的狀態，如：time-wait 和 syn-recv。
big	列出和 bucket 相反的狀態。

使用 ipv4 時的過濾語法以下：

1	`$ ss -4 state filter`

使用 ipv6 時的過濾語法以下：

1	`$ ss -6 state filter`

下面是一個簡單的例子：

1	`$ ss -4 state listening`

同時過濾 TCP 的狀態和端口號

(注意下面命令中的轉義符和空格，都是必須的。若是不用轉義符，可使用單引號)

下面的命令顯示全部狀態爲 established 的 ssh 鏈接：

1	`$ ss -4n state listening`

下面的兩種寫法是等價的，要有使用 \ 轉義小括號，要麼使用單引號括起來：

1 2	`$ ss -4n state listening $ dport = :` `ssh` `$` `$ ss -4n state listening` `'( dport = :ssh )'`

只是最後的結果稍微讓人有些意外，不只顯示了監聽的端口，也顯示了經過 22 端口創建的鏈接。

下面咱們顯示全部狀態爲 Established 的 HTTP 鏈接：

1 2	`$ ss -4n state listening $ dport = :` `ssh` `$` `$ ss -4n state listening` `'( dport = :ssh )'`

下面的命令列出全部鏈接到 22 端口的鏈接和對 22 端口的監聽：

1	`$ ss state all dport = :22`

下面是一個來自 ss man page 的例子，它列舉出處於 FIN-WAIT-1狀態的源端口爲 80 或者 443，目標網絡爲 193.233.7/24 全部 TCP 套接字：

1	`$ ss state fin-wait-1` `'( sport = :http or sport = :https )'` `dst 193.233.7` `/24`

總結

因爲性能出色且功能豐富，ss 命令能夠用來替代 netsate 命令成爲咱們平常查看 socket 相關信息的利器。其實拋棄 netstate 命令已是大勢所趨，有的 Linux 版本默認已經再也不內置 netstate 而是內置了 ss 命令。

以上就是本文的所有內容，但願對你們的學習有所幫助，也但願你們多多支持腳本之家。

ss命令用於顯示socket狀態. 他能夠顯示PACKET sockets, TCP sockets, UDP sockets, DCCP sockets, RAW sockets, Unix domain sockets等等統計. 它比其餘工具展現等多tcp和state信息. 它是一個很是實用、快速、有效的跟蹤IP鏈接和sockets的新工具.SS命令能夠提供以下信息：

全部的TCP sockets
全部的UDP sockets
全部ssh/ftp/ttp/https持久鏈接
全部鏈接到Xserver的本地進程
使用state（例如：connected, synchronized, SYN-RECV, SYN-SENT,TIME-WAIT）、地址、端口過濾
全部的state FIN-WAIT-1 tcpsocket鏈接以及更多

不少流行的Linux發行版都支持ss以及不少監控工具使用ss命令.熟悉這個工具備助於您更好的發現與解決系統性能問題.本人強烈建議使用ss命令替代netstat部分命令,例如netsat -ant/lnt等.

展現他以前來作個對比,統計服務器併發鏈接數

 netstat
# time netstat -ant | grep EST | wc -l
3100

real 0m12.960s
user 0m0.334s
sys 0m12.561s
# time ss -o state established | wc -l
3204

real 0m0.030s
user 0m0.005s
sys 0m0.026s

netstat

# time netstat -ant | grep EST | wc -l

3100

real 0m12.960s

user 0m0.334s

sys 0m12.561s

# time ss -o state established | wc -l

3204

real 0m0.030s

user 0m0.005s

sys 0m0.026s

結果很明顯ss統計併發鏈接數效率完敗netstat,在ss能搞定的狀況下, 你還會在選擇netstat嗎, 還在猶豫嗎, 看如下例子,或者跳轉到幫助頁面.

經常使用ss命令：

ss -l 顯示本地打開的全部端口
ss -pl 顯示每一個進程具體打開的socket
ss -t -a 顯示全部tcp socket
ss -u -a 顯示全部的UDP Socekt
ss -o state established '( dport = :smtp or sport = :smtp )' 顯示全部已創建的SMTP鏈接
ss -o state established '( dport = :http or sport = :http )' 顯示全部已創建的HTTP鏈接
ss -x src /tmp/.X11-unix/* 找出全部鏈接X服務器的進程
ss -s 列出當前socket詳細信息:

ss -l 顯示本地打開的全部端口

ss -pl 顯示每一個進程具體打開的socket

ss -t -a 顯示全部tcp socket

ss -u -a 顯示全部的UDP Socekt

ss -o state established '( dport = :smtp or sport = :smtp )' 顯示全部已創建的SMTP鏈接

ss -o state established '( dport = :http or sport = :http )' 顯示全部已創建的HTTP鏈接

ss -x src /tmp/.X11-unix/* 找出全部鏈接X服務器的進程

ss -s 列出當前socket詳細信息:

顯示sockets簡要信息
列出當前已經鏈接，關閉，等待的tcp鏈接

# ss -s
Total: 3519 (kernel 3691)
TCP: 26557 (estab 3163, closed 23182, orphaned 194, synrecv 0, timewait 23182/0), ports 1452

Transport Total IP IPv6
* 3691 - -
RAW 2 2 0
UDP 10 7 3
TCP 3375 3368 7
INET 3387 3377 10
FRAG 0 0 0

# ss -s

Total: 3519 (kernel 3691)

TCP: 26557 (estab 3163, closed 23182, orphaned 194, synrecv 0, timewait 23182/0), ports 1452

Transport Total IP IPv6

* 3691 - -

RAW 2 2 0

UDP 10 7 3

TCP 3375 3368 7

INET 3387 3377 10

FRAG 0 0 0

列出當前監聽端口

# ss -l
Recv-Q Send-Q Local Address:Port Peer Address:Port
0 10 :::5989 :::*
0 5 *:rsync *:*
0 128 :::sunrpc :::*
0 128 *:sunrpc *:*
0 511 *:http *:*
0 128 :::ssh :::*
0 128 *:ssh *:*
0 128 :::35766 :::*
0 128 127.0.0.1:ipp *:*
0 128 ::1:ipp :::*
0 100 ::1:smtp :::*
0 100 127.0.0.1:smtp *:*
0 511 *:https *:*
0 100 :::1311 :::*
0 5 *:5666 *:*
0 128 *:3044 *:*

# ss -l

Recv-Q Send-Q Local Address:Port Peer Address:Port

0 10 :::5989 :::*

0 5 *:rsync *:*

0 128 :::sunrpc :::*

0 128 *:sunrpc *:*

0 511 *:http *:*

0 128 :::ssh :::*

0 128 *:ssh *:*

0 128 :::35766 :::*

0 128 127.0.0.1:ipp *:*

0 128 ::1:ipp :::*

0 100 ::1:smtp :::*

0 100 127.0.0.1:smtp *:*

0 511 *:https *:*

0 100 :::1311 :::*

0 5 *:5666 *:*

0 128 *:3044 *:*

ss列出每一個進程名及其監聽的端口

# ss -pl

# ss -pl

ss列全部的tcp sockets

# ss -t -a

1	# ss -t -a

ss列出全部udp sockets

# ss -u -a

1	# ss -u -a

ss列出全部http鏈接中的鏈接

# ss -o state established '( dport = :http or sport = :http )'

1	# ss -o state established '( dport = :http or sport = :http )'

·以上包含對外提供的80，以及訪問外部的80
·用以上命令完美的替代netstat獲取http併發鏈接數，監控中經常使用到

ss列出本地哪一個進程鏈接到x server

# ss -x src /tmp/.X11-unix/*

1	# ss -x src /tmp/.X11-unix/*

ss列出處在FIN-WAIT-1狀態的http、https鏈接

# ss -o state fin-wait-1 '( sport = :http or sport = :https )'

1	# ss -o state fin-wait-1 '( sport = :http or sport = :https )'

ss經常使用的state狀態：

established
syn-sent
syn-recv
fin-wait-1
fin-wait-2
time-wait
closed
close-wait
last-ack
listen
closing
all : All of the above states
connected : All the states except for listen and closed
synchronized : All the connected states except for syn-sent
bucket : Show states, which are maintained as minisockets, i.e. time-wait and syn-recv.
big : Opposite to bucket state.

established

syn-sent

syn-recv

fin-wait-1

fin-wait-2

time-wait

closed

close-wait

last-ack

listen

closing

all : All of the above states

connected : All the states except for listen and closed

synchronized : All the connected states except for syn-sent

bucket : Show states, which are maintained as minisockets, i.e. time-wait and syn-recv.

big : Opposite to bucket state.

ss使用IP地址篩選

ss src ADDRESS_PATTERN
src：表示來源
ADDRESS_PATTERN：表示地址規則

以下：
ss src 120.33.31.1 # 列出來之20.33.31.1的鏈接

＃　列出來至120.33.31.1,80端口的鏈接
ss src 120.33.31.1:http
ss src 120.33.31.1:80

ss src ADDRESS_PATTERN

src：表示來源

ADDRESS_PATTERN：表示地址規則

以下：

ss src 120.33.31.1 # 列出來之20.33.31.1的鏈接

＃　列出來至 120.33.31.1,80端口的鏈接

ss src 120.33.31.1:http

ss src 120.33.31.1:80

ss使用端口篩選

ss dport OP PORT
OP:是運算符
PORT：表示端口
dport：表示過濾目標端口、相反的有sport

ss dport OP PORT

OP:是運算符

PORT：表示端口

dport：表示過濾目標端口、相反的有sport

OP運算符以下：

<= or le : 小於等於 >= or ge : 大於等於
== or eq : 等於
!= or ne : 不等於端口
< or lt : 小於這個端口 > or gt : 大於端口

<= or le : 小於等於 >= or ge : 大於等於

== or eq : 等於

!= or ne : 不等於端口

< or lt : 小於這個端口 > or gt : 大於端口

OP實例

ss sport = :http 也能夠是 ss sport = :80
ss dport = :http
ss dport \> :1024
ss sport \> :1024
ss sport \< :32000
ss sport eq :22
ss dport != :22
ss state connected sport = :http
ss \( sport = :http or sport = :https \)
ss -o state fin-wait-1 \( sport = :http or sport = :https \) dst 192.168.1/24

ss sport = :http 也能夠是 ss sport = :80

ss dport = :http

ss dport \> :1024

ss sport \> :1024

ss sport \< :32000

ss sport eq :22

ss dport != :22

ss state connected sport = :http

ss $ sport = :http or sport = :https $

ss -o state fin-wait-1 $ sport = :http or sport = :https $ dst 192.168.1/24

爲何ss比netstat快：
netstat是遍歷/proc下面每一個PID目錄，ss直接讀/proc/net下面的統計信息。因此ss執行的時候消耗資源以及消耗的時間都比netstat少不少

ss命令幫助

# ss -h
Usage: ss [ OPTIONS ]
       ss [ OPTIONS ] [ FILTER ]
   -h, --help           this message
   -V, --version        output version information
   -n, --numeric        don't resolve service names
   -r, --resolve       resolve host names
   -a, --all            display all sockets
   -l, --listening      display listening sockets
   -o, --options       show timer information
   -e, --extended      show detailed socket information
   -m, --memory        show socket memory usage
   -p, --processes      show process using socket
   -i, --info           show internal TCP information
   -s, --summary        show socket usage summary

   -4, --ipv4          display only IP version 4 sockets
   -6, --ipv6          display only IP version 6 sockets
   -0, --packet display PACKET sockets
   -t, --tcp            display only TCP sockets
   -u, --udp            display only UDP sockets
   -d, --dccp           display only DCCP sockets
   -w, --raw            display only RAW sockets
   -x, --unix           display only Unix domain sockets
   -f, --family=FAMILY display sockets of type FAMILY

   -A, --query=QUERY, --socket=QUERY
       QUERY := {all|inet|tcp|udp|raw|unix|packet|netlink}[,QUERY]

   -D, --diag=FILE      Dump raw information about TCP sockets to FILE
   -F, --filter=FILE   read filter information from FILE
       FILTER := [ state TCP-STATE ] [ EXPRESSION ]