Linux netstat命令结果分析

一：获取数据

使用命令

netstat -anp //命令介绍： netstat ： linux中查看网络状态的命令 -a : 显示所有的连接 -n : 以ip格式显示 -p : 显示连接对应的进程 netstat命令详解请移步：http://man.linuxde.net/netstat

参数含义（来自菜鸟教程）：
-a或--all 显示所有连线中的Socket。
-A<网络类型>或--<网络类型> 列出该网络类型连线中的相关地址。
-c或--continuous 持续列出网络状态。
-C或--cache 显示路由器配置的快取信息。
-e或--extend 显示网络其他相关信息。
-F或--fib 显示FIB。
-g或--groups 显示多重广播功能群组组员名单。
-h或--help 在线帮助。
-i或--interfaces 显示网络界面信息表单。
-l或--listening 显示监控中的服务器的Socket。
-M或--masquerade 显示伪装的网络连线。
-n或--numeric 直接使用IP地址，而不通过域名服务器。
-N或--netlink或--symbolic 显示网络硬件外围设备的符号连接名称。
-o或--timers 显示计时器。
-p或--programs 显示正在使用Socket的程序识别码和程序名称。
-r或--route 显示Routing Table。
-s或--statistice 显示网络工作信息统计表。
-t或--tcp 显示TCP传输协议的连线状况。
-u或--udp 显示UDP传输协议的连线状况。
-v或--verbose 显示指令执行过程。
-V或--version 显示版本信息。
-w或--raw 显示RAW传输协议的连线状况。
-x或--unix 此参数的效果和指定"-A unix"参数相同。
--ip或--inet 此参数的效果和指定"-A inet"参数相同。
得到结果

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1/systemd           
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      458/sshd            
tcp        0     52 10.105.254.117:22       124.251.53.238:58615    ESTABLISHED 29936/sshd: root@pt 
tcp6       0      0 :::3306                 :::*                    LISTEN      32519/mysqld        
tcp6       0      0 :::111                  :::*                    LISTEN      5737/rpcbind        
tcp6       0      0 :::22                   :::*                    LISTEN      458/sshd            
udp        0      0 0.0.0.0:111             0.0.0.0:*                           5737/rpcbind        
udp        0      0 0.0.0.0:824             0.0.0.0:*                           5737/rpcbind        
udp6       0      0 :::111                  :::*                                5737/rpcbind        
udp6       0      0 :::824                  :::*                                5737/rpcbind        
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name     Path
unix  2      [ ACC ]     STREAM     LISTENING     130995418 32519/mysqld         /var/lib/mysql/mysql.sock
unix  2      [ ACC ]     STREAM     LISTENING     12137    454/lsmd             /var/run/lsm/ipc/simc
unix  2      [ ]         DGRAM                    6767     1/systemd            /run/systemd/notify
unix  2      [ ]         DGRAM                    6769     1/systemd            /run/systemd/cgroups-agent
unix  2      [ ACC ]     STREAM     LISTENING     6778     1/systemd            /run/systemd/journal/stdout
unix  5      [ ]         DGRAM                    6781     1/systemd            /run/systemd/journal/socket
unix  8      [ ]         DGRAM                    6783     1/systemd            /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     9601     1/systemd            /run/lvm/lvmetad.socket
unix  2      [ ]         DGRAM                    9613     1/systemd            /run/systemd/shutdownd
unix  2      [ ACC ]     STREAM     LISTENING     9615     1/systemd            /run/lvm/lvmpolld.socket
unix  2      [ ACC ]     STREAM     LISTENING     11170    1/systemd            /var/run/rpcbind.sock
unix  2      [ ACC ]     STREAM     LISTENING     12196    454/lsmd             /var/run/lsm/ipc/sim
unix  2      [ ACC ]     STREAM     LISTENING     11173    1/systemd            /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     11944    462/acpid            /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     9448     1/systemd            /run/systemd/private
unix  2      [ ACC ]     SEQPACKET  LISTENING     9464     1/systemd            /run/udev/control

二：结果分析

分为两部分：
- Active Internet connections（有源Internet连接）：用于网络连接传输
- Active UNIX domain sockets（有源UNIX套接字）：只能用于本地通信，性能比第一种好
Active Internet connections 部分：
字段介绍：
- Proto ：该连接所使用的协议
- Recv-Q ：接受队列
- Send-Q ：发送队列
- Local Address：本地ip:port
- Foreign Address ：远程主机ip:port
- State ：连接所处的状态
- PID/Program name ：使用该连接的进程id和name
相关字段作用：
- Proto ：通过此字段可以看到连接使用的是什么协议，主要是TCP协议还是UDP协议，还有TCP6、UDP6这就是使用了ipv6的协议
- Recv-Q ：表示收到的数据已经在本地接收缓冲，但是还有多少没有被进程取走，recv()。如果接收队列Recv-Q一直处于阻塞状态，也就是Recv-Q值不为零并且值挺大，可能是遭受了Dos 攻击。
- Send-Q ：对方没有接受的数据,仍然在本地缓冲区中。如果发送队列Send-Q不能很快的清零，可能是有应用向外发送数据包过快，或者是对方接收数据包不够快。这时候就要调整发送速度或者接受速度了。例如：如果看到是大量的 send-Q ,可以判定是发送数据给目的地址的时候出现了阻塞的问题，导致了包堆积在本地缓存中，不能成功发出去。那么问题就可能产生在了客户端，根据业务逻辑可以看看是不是客户端发送的TCP长连接数量过多。验证办法，尝试减少客户端和服务的长连接.查看效果。
- Recv-Q 和 Send-Q ：这两个值通常应该为0，如果不为0可能是有问题的。packets在两个队列里都不应该有堆积状态。可接受短暂的非0情况。
  - 在正常情况下， LISTEN 状态中: Recv-Q 表示的当前等待服务端调用 accept 完成三次握手的 listen backlog 数值，也就是说，当客户端通过 connect() 去连接正在 listen() 的服务端时，这些连接会一直处于Recv-Q这个queue 里面直到被服务端 accept()；Send-Q 表示的则是最大的 listen backlog 数值。
  - 其余状态: 非 LISTEN 状态之前理解的没有问题。Recv-Q 表示 receive queue 中的 bytes 数量；Send-Q 表示 send queue 中的 bytes 数值。
- State：标识tcp连接状态，比如TCP的状态有：（图片来自：https://www.cnblogs.com/qingergege/p/6603488.html）
Active UNIX domain sockets 部分：
字段介绍：
- Proto ：该连接所使用的协议
- RefCnt：引用计数（即通过此套接字附加的进程），也就是连接到本套接口上的进程数量
- Flags："The flags displayed are SO_ACCEPTON (displayed as ACC), SO_WAITDATA (W) or SO_NOSPACE (N). SO_ACCECPTON is used on unconnected sockets if their corresponding processes are waiting for a connect request. The other flags are not of normal interest." 即：显示的标志有SO_ACCEPTON（显示为ACC），SO_WAITDATA（W）或SO_NOSPACE（N）。 SO_ACCECPTON进程正在等待连接请求还未连接的套接字。
- Type：套接字的类型
  - 有几种类型的套接字访问：
  - SOCK_DGRAM：数据报（无连接）模式。
  - SOCK_STREAM：流（连接）套接字。
  - SOCK_RAW：原始套接字。
  - SOCK_RDM：这个服务器提供可靠传递的消息。
  - SOCK_SEQPACKET：这是一个顺序数据包套接字。
  - SOCK_PACKET：原始接口访问套接字。
- State：套接字当前的状态
  - 该字段将包含以下状态：
  - FREE：未分配套接字。
  - LISTENING：套接字正在侦听连接请求。如果指定--listening（-l）或--all（-a）选项，则此类套接字仅包含在输出中。
  - CONNECTING：套接字即将建立连接。
  - CONNECTED：已连接套接字。
  - DISCONNECTING ：套接字正在断开连接。
  - (empty) ：套接字未连接到另一个套接字。
- PID/Program name ：使用该连接的进程id和name
- I-Node：unix系统文件系统中每个文件都存在的inode
- Path：”This is the path name as which the corresponding processes attached to the socket.“ 即：代表附加到套接字的相应进程的路径名