1. ss命令介绍

ss是Socket Statistics的缩写。可以使用ss命令获取socket统计信息，类似于netstat命令。但是ss的优点是能够显示关于TCP和连接状态的更详细的信息，并且比netstat更快。当服务器上的套接字连接数量变得非常大时，执行速度很慢，无论是使用netstat命令还是直接使用cat /proc/net/tcp。ss命令使用TCP栈中的tcp_diag。tcp_diag是一个用于分析统计数据并从Linux内核获取第一手信息的模块，因此ss命令的性能要好得多。

ss命令介绍

2. 常见的选项

-h，——救命救命

-V，——version显示版本号

-t，——tcp显示tcp套接字

-u，——udp显示udp套接字

-x，——unix显示unix域套接字，与-f选项相同

-n，——number不能解析的服务名，比如'22'端口不会显示为'ssh'

-l，——listening只显示处于监听状态的端口

-p，——processes显示监听端口的进程(Ubuntu需要sudo)

-a，——all对于TCP，包含被监视的端口和已建立的连接

-r，——resolve解析IP地址为域名，端口号为协议名称

3.常见的使用

如果不添加选项，ss命令默认输出所有已建立的连接(不包括侦听端口)，包括tcp、udp和unix套接字。

3.1查看连接Top 5:

[root@zcwyou ~]# ss |head -n 5Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port

u_str ESTAB 0 0 * 20040 * 20041

u_str ESTAB 0 0 * 20030 * 20031

u_str ESTAB 0 0 * 20044 * 20043

u_str ESTAB 0 0 /run/dbus/system_bus_socket 18592 * 18591

3.2查看主机监听端口

[root@zcwyou ~]# ss -tnlState Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 127.0.0.1:9016 :

LISTEN 0 128 127.0.0.1:9017 :

LISTEN 0 100 127.0.0.1:25 :

LISTEN 0 128 127.0.0.1:9018 :

LISTEN 0 128 127.0.0.1:1723 :

LISTEN 0 128 127.0.0.1:9019 :

3.3 linux查看tcp连接

[root@zcwyou ~]# ss -t -aESTAB 0 0 :1:ssh :1:53238

ESTAB 0 0 :1:53278 :1:ssh

ESTAB 0 0 :1:ssh :1:53280

ESTAB 0 0 :1:53288 :1:ssh

ESTAB 0 0 :1:ssh :1:53296

ESTAB 0 0 :1:53294 :1:ssh

ESTAB 0 0 :1:48456 :1:ssh

ESTAB 0 0 :1:53286 :1:ssh

ESTAB 0 0 :1:53292 :1:ssh

ESTAB 0 0 :1:ssh :1:53272

linux查看tcp连接

3.4解析IP地址和端口号

使用-r选项

[root@zcwyou ~]# ss -tlrState Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 my_public_ip:9016 :

LISTEN 0 128 my_public_ip:9017 :

LISTEN 0 100 localhost:smtp :

LISTEN 0 128 my_public_ip:9018 :

LISTEN 0 128 my_public_ip:pptp :

LISTEN 0 128 my_public_ip:9019 :

linux显示监听端口

3.5输出信息中包含进程名

使用-p选项

[root@zcwyou ~]# ss -sTotal: 2340 (kernel 2365)

TCP: 2126 (estab 72, closed 23, orphaned 1, synrecv 0, timewait 2/0), ports 0

Transport Total IP IPv6

2365 - - raw 10 1UDP 21 1TCP 2103 2059 44INET 2106 2060 46FRAG 0 0 03.6根据需要过滤输出信息

可以按照源IP地址、源端口、目的IP地址、目的端口的语法进行过滤

src源

dst的目标

ss dst 172.16.26.33

ss dst 172.16.26.43:http

ss dst 172.16.26.43:443

3.7基于源端口号范围的输出：

[root@zcwyou ~]# ss sport OP PORT基于目标端口号范围的输出：

ss dport OP PORT

OP可以代表以下任何一种情况：

=le小于等于端口号=ge大于等于端口号==eq等于端口号!=ne不等于端口号gt大于端口号lt小于端口号

例如：

显示小于8080的源端口的连接状态

[root@zcwyou ~]# ss- tunnel sport lt 8080或

[root@zcwyou ~]# ss- tunnel sport \ 80803.8根据TCP状态进行过滤

ss命令还可以根据TCP协议的状态对TCP连接进行过滤。支持的TCP状态如下：

established

syn-sent

syn-recv

fin-wait-1

fin-wait-2

time-wait

closed

close-wait

last-ack

listening

closing

除了上述TCP状态外，还可以使用以下状态：

Status输出结果all显示所有TCP状态。connected显示已建立的TCP连接状态。synchronized显示处于同步状态的连接。桶输出维护的状态有：time-wait和syn-recv。Big输出与桶相反的状态。

只输出ipv4状态：

[root@zcwyou ~]# ss-4 state filter只输出ipv6状态：

[root@zcwyou ~]# ss-6 state filter输出ipv4监听状态：

[root@zcwyou ~]# ss-4 state listening3.9根据TCP状态和端口号过滤数据包

输入ipv4协议下的ssh监听状态：

[root@zcwyou] ss-4n状态收听\(dport=:ssh \)或

[root@zcwyou ~]# ss-4n状态监听'(dport=:ssh)'使用转义括号或单引号

查看所有建立TCP三次握手的HTTP连接。

[root@zcwyou ~]# ss state established '(sport=:http or dport=:http)'查看所有正在运行的ssh连接：

[root@zcwyou ~]# ss state all dport=:224。总结

ss命令功能丰富，性能优良。它可以代替netsafe命令。已成为我们日常查看socket相关信息的最锐利之处。Netstat在未来已经慢慢被ss所取代。