[linux] netstat 、 kill

//关闭4000端口
netstat -anp|grep 4000
kill -9 xxx

//windows上的cmd类似
netstat -ano|findstr 4000
tasklist |findstr 3333(也就是pid)
taskkill /T /F /PID 3333(也就是pid)

netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，
一般用于检验本机各端口的网络连接情况。

-a或–all 显示所有连线中的Socket。

-A<网络类型>或–<网络类型> 列出该网络类型连线中的相关地址。

-c或–continuous 持续列出网络状态。

-C或–cache 显示路由器配置的快取信息。

-e或–extend 显示网络其他相关信息。

-F或–fib 显示FIB。

-g或–groups 显示多重广播功能群组组员名单。

-h或–help 在线帮助。

-i或–interfaces 显示网络界面信息表单。

-l或–listening 显示监控中的服务器的Socket。

-M或–masquerade 显示伪装的网络连线。

-n或–numeric 直接使用IP地址，而不通过域名服务器。

-N或–netlink或–symbolic 显示网络硬件外围设备的符号连接名称。

-o或–timers 显示计时器。

-p或–programs 显示正在使用Socket的程序识别码和程序名称。

-r或–route 显示Routing Table。

-s或–statistice 显示网络工作信息统计表。

-t或–tcp 显示TCP传输协议的连线状况。

-u或–udp 显示UDP传输协议的连线状况。

-v或–verbose 显示指令执行过程。

-V或–version 显示版本信息。

-w或–raw 显示RAW传输协议的连线状况。

-x或–unix 此参数的效果和指定”-A unix”参数相同。

–ip或–inet 此参数的效果和指定”-A inet”参数相同。

etstat -a　　　　　　
列出所有端口
显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），
也包括监听连接请（LISTENING）的那些连接。

netstat -n
显示所有已建立的有效连接

netstat -nu　　　　　　
显示当前UDP连接状况

netstat -apu
显示UDP端口号的使用情况

netstat -nt　　　　　　
显示所有已建立的TCP连接

netstat -nupa　　　　　
显示UDP端口号的使用情况

netstat -i　　　　　　
显示网卡列表

netstat -s　　　　　
显示网络统计信息
按照各个协议分别显示其统计数据。
如果我们的应用程序（如Web浏览器）运行速度比较慢，
或者不能显示Web页之类的数据，
那么我们就可以用本选项来查看一下所显示的信息。
我们需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。

netstat -r　　　　　　　　
显示路由表的信息

netstat -g
显示组播组的关系

netstat -l
显示监听的套接口

netstat -e
显示关于以太网的统计数据
用于显示关于以太网的统计数据。
它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。
这些统计数据既有发送的数据报数量，
也有接收的数据报数量。
这个选项可以用来统计一些基本的网络流量）

netstat -at
列出所有 tcp 端口

netstat -a | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
统计机器中网络连接各个状态个数

netstat -nat |awk '{print $6}'|sort|uniq -c
把状态全都取出来后使用uniq -c统计后再进行排序

netstat -nat | grep "**.8.2*.7:****" |awk '{print $5}'|awk -F: '{print $4}'|sort|uniq -c|sort -nr|head -20
查看连接某服务端口最多的的IP地址

netstat -ap | grep ssh
找出程序运行的端口

netstat -pt
在 netstat 输出中显示 PID 和进程名称
netstat -p 可以与其它开关一起使用，就可以添加 “PID/进程名称” 到 netstat 输出中，
这样 debugging 的时候可以很方便的发现特定端口运行的程序。

netstat -anpt | grep ':3000'
netstat -anp|grep 3000
找出运行在指定端口的进程
运行在端口3000的进程id为321，再通过ps命令就可以找到具体的应用程序了。
ps -ef|grep 321

Proto | Recv-Q  | Send-Q  | Local Address |  Foreign Address |  State

"Recv-Q"和"Send-Q"指的是接收队列和发送队列。
Proto显示连接使用的协议；
RefCnt表示连接到本套接口上的进程号；
Types显示套接口的类型；
State显示套接口当前的状态；
Path表示连接到套接口的其它进程使用的路径名。

套接口类型：

　　　　-t ：TCP

　　　　-u ：UDP

　　　　-raw ：RAW类型

　　　　--unix ：UNIX域类型

　　　　--ax25 ：AX25类型

　　　　--ipx ：ipx类型

　　　　--netrom ：netrom类型

套接字有本地套接字和网络套接字两种。
本地套接字的名字是Linux文件系统中的文件名，一般放在/tmp或/usr/tmp目录中；
网络套接字的名字是与客户连接的特定网络有关的服务标识符（端口号或访问点）。
这个标识符允许Linux将进入的针对特定端口号的连接转到正确的服务器进程。

状态说明：

　　　　LISTEN：　　　　 侦听来自远方的TCP端口的连接请求

　　　　SYN-SENT：　　  再发送连接请求后等待匹配的连接请求（如果有大量这样的状态包，检查是否中招了）

　　　　SYN-RECEIVED    再收到和发送一个连接请求后等待对方对连接请求的确认（如有大量此状态，估计被flood攻击了）

　　　　ESTABLISHED：   代表一个打开的连接

　　　　FIN-WAIT-1：      等待远程TCP连接中断请求，或先前的连接中断请求的确认

　　　　FIN-WAIT-2：      从远程TCP等待连接中断请求

　　　　CLOSE-WAIT：    等待从本地用户发来的连接中断请求

　　　　CLOSING：          等待远程TCP对连接中断的确认

　　　　LAST-ACK：　　   等待原来的发向远程TCP的连接中断请求的确认（不是什么好东西，此项出现，检查是否被攻击）

　　　　TIME-WAIT：       等待足够的时间以确保远程TCP接收到连接中断请求的确认

　　　　CLOSED：            没有任何连接状态

netstat

Netstat 命令用于显示各种网络相关信息，
如网络连接，路由表，接口状态 (Interface Statistics)，masquerade 连接，
多播成员 (Multicast Memberships) 等等。

从整体上看，netstat的输出结果可以分为两个部分：

一个是Active Internet connections，称为有源TCP连接，其中"Recv-Q"和"Send-Q"指%0A的是接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。

另一个是Active UNIX domain sockets，
称为有源Unix域套接口(和网络套接字一样，但是只能用于本机通信，性能可以提高一倍)。
Proto显示连接使用的协议,RefCnt表示连接到本套接口上的进程号,
Types显示套接口的类型,State显示套接口当前的状态,
Path表示连接到套接口的其它进程使用的路径名。

常见参数

-a (all)显示所有选项，默认不显示LISTEN相关
-t (tcp)仅显示tcp相关选项
-u (udp)仅显示udp相关选项
-n 拒绝显示别名，能显示数字的全部转化成数字。
-l 仅列出有在 Listen (监听) 的服務状态

-p 显示建立相关链接的程序名
-r 显示路由信息，路由表
-e 显示扩展信息，例如uid等
-s 按各个协议进行统计
-c 每隔一个固定时间，执行该netstat命令。

提示：LISTEN和LISTENING的状态只有用-a或者-l才能看到

实用命令实例

列出所有端口 (包括监听和未监听的)

列出所有端口 netstat -a

netstat -a | more

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:30037 : LISTEN
udp 0 0 *:bootpc :

Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 6135 /tmp/.X11-unix/X0
unix 2 [ ACC ] STREAM LISTENING 5140 /var/run/acpid.socket

列出所有 tcp 端口 netstat -at

netstat -at

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:30037 : LISTEN
tcp 0 0 localhost:ipp : LISTEN
tcp 0 0 :smtp : LISTEN
tcp6 0 0 localhost:ipp [::]: LISTEN

列出所有 udp 端口 netstat -au

netstat -au

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 *:bootpc :
udp 0 0 *:49119 :
udp 0 0 *:mdns :

列出所有处于监听状态的 Sockets

只显示监听端口 netstat -l

netstat -l

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:ipp : LISTEN
tcp6 0 0 localhost:ipp [::]😗 LISTEN
udp 0 0 *:49119 :

只列出所有监听 tcp 端口 netstat -lt

netstat -lt

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:30037 : LISTEN
tcp 0 0 :smtp : LISTEN
tcp6 0 0 localhost:ipp [::]: LISTEN

只列出所有监听 udp 端口 netstat -lu

netstat -lu

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 *:49119 :
udp 0 0 *:mdns :

只列出所有监听 UNIX 端口 netstat -lx

netstat -lx

Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 6294 private/maildrop
unix 2 [ ACC ] STREAM LISTENING 6203 public/cleanup
unix 2 [ ACC ] STREAM LISTENING 6302 private/ifmail
unix 2 [ ACC ] STREAM LISTENING 6306 private/bsmtp

显示每个协议的统计信息

显示所有端口的统计信息 netstat -s

netstat -s

Ip:
11150 total packets received
1 with invalid addresses
0 forwarded
0 incoming packets discarded
11149 incoming packets delivered
11635 requests sent out
Icmp:
0 ICMP messages received
0 input ICMP message failed.
Tcp:
582 active connections openings
2 failed connection attempts
25 connection resets received
Udp:
1183 packets received
4 packets to unknown port received.
.....

显示 TCP 或 UDP 端口的统计信息 netstat -st 或 -su

netstat -st

netstat -su

在 netstat 输出中显示 PID 和进程名称 netstat -p

netstat -p 可以与其它开关一起使用，就可以添加 “PID/进程名称” 到 netstat 输出中，这样 debugging 的时候可以很方便的发现特定端口运行的程序。

netstat -pt

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 1 0 ramesh-laptop.loc:47212 192.168.185.75:www CLOSE_WAIT 2109/firefox
tcp 0 0 ramesh-laptop.loc:52750 lax:www ESTABLISHED 2109/firefox

在 netstat 输出中不显示主机，端口和用户名 (host, port or user)

当你不想让主机，端口和用户名显示，使用 netstat -n。将会使用数字代替那些名称。

同样可以加速输出，因为不用进行比对查询。

netstat -an

如果只是不想让这三个名称中的一个被显示，使用以下命令

netsat -a --numeric-ports

netsat -a --numeric-hosts

netsat -a --numeric-users

持续输出 netstat 信息

netstat 将每隔一秒输出网络信息。

netstat -c

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 ramesh-laptop.loc:36130 101-101-181-225.ama:www ESTABLISHED
tcp 1 1 ramesh-laptop.loc:52564 101.11.169.230:www CLOSING
tcp 0 0 ramesh-laptop.loc:43758 server-101-101-43-2:www ESTABLISHED
tcp 1 1 ramesh-laptop.loc:42367 101.101.34.101:www CLOSING
^C

显示系统不支持的地址族 (Address Families)

netstat --verbose

在输出的末尾，会有如下的信息

netstat: no support for AF IPX' on this system. netstat: no support for AF AX25' on this system.
netstat: no support for AF X25' on this system. netstat: no support for AF NETROM' on this system.

显示核心路由信息 netstat -r

netstat -r

Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
link-local * 255.255.0.0 U 0 0 0 eth2
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth2

注意：使用 netstat -rn 显示数字格式，不查询主机名称。

找出程序运行的端口

并不是所有的进程都能找到，没有权限的会不显示，使用 root 权限查看所有的信息。

netstat -ap | grep ssh

tcp 1 0 dev-db:ssh 101.174.100.22:39213 CLOSE_WAIT -
tcp 1 0 dev-db:ssh 101.174.100.22:57643 CLOSE_WAIT -

找出运行在指定端口的进程

netstat -an | grep ':80'

显示网络接口列表

netstat -i

Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500 0 0 0 0 0 0 0 0 0 BMU
eth2 1500 0 26196 0 0 0 26883 6 0 0 BMRU
lo 16436 0 4 0 0 0 4 0 0 0 LRU

显示详细信息，像是 ifconfig 使用 netstat -ie:

netstat -ie

Kernel Interface table
eth0 Link encap:Ethernet HWaddr 00:10:40:11:11:11
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Memory:f6ae0000-f6b00000

IP和TCP分析

查看连接某服务端口最多的的IP地址

wss8848@ubuntu:~$ netstat -nat | grep "192.168.1.15:22" |awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -20
18 221.136.168.36
3 154.74.45.242
2 78.173.31.236
2 62.183.207.98
2 192.168.1.14
2 182.48.111.215
2 124.193.219.34
2 119.145.41.2
2 114.255.41.30
1 75.102.11.99

TCP各种状态列表

wss8848@ubuntu:~$ netstat -nat |awk '{print $6}'
established)
Foreign
LISTEN
TIME_WAIT
ESTABLISHED
TIME_WAIT
SYN_SENT

先把状态全都取出来,然后使用uniq -c统计，之后再进行排序。

wss8848@ubuntu:~$ netstat -nat |awk '{print $6}'|sort|uniq -c
143 ESTABLISHED
1 FIN_WAIT1
1 Foreign
1 LAST_ACK
36 LISTEN
6 SYN_SENT
113 TIME_WAIT
1 established)

最后的命令如下:

netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn

分析access.log获得访问前10位的ip地址

awk '{print $1}' access.log |sort|uniq -c|sort -nr|head -10

kill

Linux中的kill命令用来终止指定的进程（terminate a process）的运行，是Linux下进程管理的常用命令。通常，终止一个前台进程可以使用Ctrl+C键，但是，对于一个后台进程就须用kill命令来终止，我们就需要先使用ps/pidof/pstree/top等工具获取进程PID，然后使用kill命令来杀掉该进程。kill命令是通过向进程发送指定的信号来结束相应进程的。在默认情况下，采用编号为15的TERM信号。TERM信号将终止所有不能捕获该信号的进程。对于那些可以捕获该信号的进程就要用编号为9的kill信号，强行“杀掉”该进程。

1．命令格式：

kill[参数][进程号]

2．命令功能：

发送指定的信号到相应进程。不指定型号将发送SIGTERM（15）终止指定进程。如果任无法终止该程序可用“-KILL” 参数，其发送的信号为SIGKILL(9) ，将强制结束进程，使用ps命令或者jobs 命令可以查看进程号。root用户将影响用户的进程，非root用户只能影响自己的进程。

3．命令参数：

-l 信号，若果不加信号的编号参数，则使用“-l”参数会列出全部的信号名称

-a 当处理当前进程时，不限制命令名和进程号的对应关系

-p 指定kill 命令只打印相关进程的进程号，而不发送任何信号

-s 指定发送信号

-u 指定用户

注意：

1、kill命令可以带信号号码选项，也可以不带。如果没有信号号码，kill命令就会发出终止信号(15)，这个信号可以被进程捕获，使得进程在退出之前可以清理并释放资源。也可以用kill向进程发送特定的信号。例如：

kill -2 123

它的效果等同于在前台运行PID为123的进程时按下Ctrl+C键。但是，普通用户只能使用不带signal参数的kill命令或最多使用-9信号。

2、kill可以带有进程ID号作为参数。当用kill向这些进程发送信号时，必须是这些进程的主人。如果试图撤销一个没有权限撤销的进程或撤销一个不存在的进程，就会得到一个错误信息。

3、可以向多个进程发信号或终止它们。

4、当kill成功地发送了信号后，shell会在屏幕上显示出进程的终止信息。有时这个信息不会马上显示，只有当按下Enter键使shell的命令提示符再次出现时，才会显示出来。

5、应注意，信号使进程强行终止，这常会带来一些副作用，如数据丢失或者终端无法恢复到正常状态。发送信号时必须小心，只有在万不得已时，才用kill信号(9)，因为进程不能首先捕获它。要撤销所有的后台作业，可以输入kill 0。因为有些在后台运行的命令会启动多个进程，跟踪并找到所有要杀掉的进程的PID是件很麻烦的事。这时，使用kill 0来终止所有由当前shell启动的进程，是个有效的方法。

4．使用实例：

实例1：列出所有信号名称

命令：

kill -l

输出：

[root@localhost test6]# kill -l

SIGHUP 2) SIGINT 3) SIGQUIT 4) SIGILL
SIGTRAP 6) SIGABRT 7) SIGBUS 8) SIGFPE
SIGKILL 10) SIGUSR1 11) SIGSEGV 12) SIGUSR2
SIGPIPE 14) SIGALRM 15) SIGTERM 16) SIGSTKFLT
SIGCHLD 18) SIGCONT 19) SIGSTOP 20) SIGTSTP
SIGTTIN 22) SIGTTOU 23) SIGURG 24) SIGXCPU
SIGXFSZ 26) SIGVTALRM 27) SIGPROF 28) SIGWINCH
SIGIO 30) SIGPWR 31) SIGSYS 34) SIGRTMIN
SIGRTMIN+1 36) SIGRTMIN+2 37) SIGRTMIN+3 38) SIGRTMIN+4
SIGRTMIN+5 40) SIGRTMIN+6 41) SIGRTMIN+7 42) SIGRTMIN+8
SIGRTMIN+9 44) SIGRTMIN+10 45) SIGRTMIN+11 46) SIGRTMIN+12
SIGRTMIN+13 48) SIGRTMIN+14 49) SIGRTMIN+15 50) SIGRTMAX-14
SIGRTMAX-13 52) SIGRTMAX-12 53) SIGRTMAX-11 54) SIGRTMAX-10
SIGRTMAX-9 56) SIGRTMAX-8 57) SIGRTMAX-7 58) SIGRTMAX-6
SIGRTMAX-5 60) SIGRTMAX-4 61) SIGRTMAX-3 62) SIGRTMAX-2
SIGRTMAX-1 64) SIGRTMAX

说明：

只有第9种信号(SIGKILL)才可以无条件终止进程，其他信号进程都有权利忽略。下面是常用的信号：

HUP 1 终端断线

INT 2 中断（同 Ctrl + C）

QUIT 3 退出（同 Ctrl + \）

TERM 15 终止

KILL 9 强制终止

CONT 18 继续（与STOP相反， fg/bg命令）

STOP 19 暂停（同 Ctrl + Z）

实例2：得到指定信号的数值

命令：

输出：

[root@localhost test6]# kill -l KILL

9[root@localhost test6]# kill -l SIGKILL

9[root@localhost test6]# kill -l TERM

15[root@localhost test6]# kill -l SIGTERM

15[root@localhost test6]#

说明：

实例3：先用ps查找进程，然后用kill杀掉

命令：

kill 3268

输出：

[root@localhost test6]# ps -ef|grep vim

root 3268 2884 0 16:21 pts/1 00:00:00 vim install.log

root 3370 2822 0 16:21 pts/0 00:00:00 grep vim

[root@localhost test6]# kill 3268

-bash: kill: (3268) - 没有那个进程

[root@localhost test6]#

说明：

实例4：彻底杀死进程

命令：

kill –9 3268

输出：

[root@localhost test6]# ps -ef|grep vim

root 3268 2884 0 16:21 pts/1 00:00:00 vim install.log

root 3370 2822 0 16:21 pts/0 00:00:00 grep vim

[root@localhost test6]# kill –9 3268

[root@localhost test6]# kill 3268

-bash: kill: (3268) - 没有那个进程

[root@localhost test6]#

说明：

实例5：杀死指定用户所有进程

命令：

kill -9 $(ps -ef | grep peidalinux)

kill -u peidalinux

输出：

[root@localhost ~]# kill -9 $(ps -ef | grep peidalinux)

[root@localhost ~]# kill -u peidalinux

说明：

方法一，过滤出hnlinux用户进程并杀死

实例6：init进程是不可杀的

命令：

kill -9 1

输出：

[root@localhost ~]# ps -ef|grep init

root 1 0 0 Nov02 ? 00:00:00 init [3]

root 17563 17534 0 17:37 pts/1 00:00:00 grep init

[root@localhost ~]# kill -9 1

[root@localhost ~]# kill -HUP 1

[root@localhost ~]# ps -ef|grep init

root 1 0 0 Nov02 ? 00:00:00 init [3]

root 17565 17534 0 17:38 pts/1 00:00:00 grep init

[root@localhost ~]# kill -KILL 1

[root@localhost ~]# ps -ef|grep init

root 1 0 0 Nov02 ? 00:00:00 init [3]

root 17567 17534 0 17:38 pts/1 00:00:00 grep init

[root@localhost ~]#

说明：

init是Linux系统操作中不可缺少的程序之一。所谓的init进程，它是一个由内核启动的用户级进程。内核自行启动（已经被载入内存，开始运行，并已初始化所有的设备驱动程序和数据结构等）之后，就通过启动一个用户级程序init的方式，完成引导进程。所以,init始终是第一个进程（其进程编号始终为1）。其它所有进程都是init进程的子孙。init进程是不可杀的！

posted @ 2016-08-19 11:50 晴明桑阅读(2138) 评论(0) 编辑收藏举报

刷新页面返回顶部

[linux] netstat 、 kill

netstat

netstat -a | more

netstat -at

netstat -au

netstat -l

netstat -lt

netstat -lu

netstat -lx

netstat -s

netstat -st

netstat -su

netstat -pt

netstat -an

netsat -a --numeric-ports

netsat -a --numeric-hosts

netsat -a --numeric-users

netstat -c

netstat -r

netstat -ap | grep ssh

netstat -an | grep ':80'

netstat -i

netstat -ie

kill

公告