在Linux网络管理和故障排查中,netstat确实是必备的瑞士军刀。掌握这些进阶技巧能显著提升效率,尤其当服务器出现连接数爆满、端口冲突或异常流量时。
以下乃是自实战之中所总结而成的深度操作指南:
继续淦
一、精准定位网络瓶颈1. 暴露出所有潜在监听端口(含隐藏进程)sudo netstat -tulpn | grep -E 'LISTEN|UNKNOWN'-p直接显示进程名/PID,快速定位异常监听程序UNKNOWN状态可能指向被内核模块占用的端口(如Docker虚拟网卡)
netstat 调用输出
2. 按连接状态智能分类统计netstat -ant | awk '/^tcp/ {S[$NF]++} END {for(s in S) print s, S[s]}'输出示例:
TIME_WAIT 48ESTABLISHED 23SYN_SENT 5重点监控TIME_WAIT过高(可能需调内核参数net.ipv4.tcp_tw_reuse)SYN_SENT突增提示可能有DDoS攻击二、TCP/UDP流量透视术3. 实时追踪指定服务的流量动态watch -n1 "netstat -anp | grep ':80\>' | awk '{print \$5}' | cut -d: -f1 | sort | uniq -c | sort -nr"每1秒刷新HTTP服务的客户端IP连接数TOP榜快速识别CC攻击源IP(前5位异常IP可立即封禁)4. 深度解析Socket缓存堆积netstat -tn | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -n20列出与当前主机保持连接的前20个IP发现异常长连接(如Redis未设置密码导致被肉鸡)三、网络拓扑可视化技巧5. 生成CSV格式连接图谱netstat -ano | awk -F"[ :]+" '/tcp/ {print $5","$8","$NF}' > connections.csv用Excel打开后可:
数据透视分析各进程的端口分布筛选CLOSE_WAIT状态的连接,解决文件描述符泄漏6. 绘制实时流量热力图netstat -nt | grep 'ESTABLISHED' | awk '{print $5}' | sed 's/:.*//' | sort | uniq -c | sort -nr | gnuplot -p -e 'plot "-" using 1:xtic(2) with boxes'需要安装gnuplot,生成柱状图直观显示连接分布四、netstat高阶替代方案7. 使用ss命令实现毫秒级查询ss -sptn sport = :443 # 查看所有HTTPS连接详情ss直接读取内核socket信息,比netstat快10倍-o显示TCP定时器信息,-e获取详细socket元数据8. 网络诊断组合拳lsof -i :3306 && ss -ntp dst :3306 && netstat -n | grep 3306三命令联用彻底分析MySQL端口状态确认是否有僵尸进程占用端口五、生产环境经典案例案例1:Nginx 502 Bad Gatewaynetstat -s | grep 'segments retransmitted' 发现TCP重传率>5%
结论:IDC机房网络抖动,启用BGP多线接入
案例2:Redis响应缓慢netstat -nat | grep :6379 | wc -l 显示20万+连接
对策:添加iptables连接数限制,设置tcp-keepalive
通过以上方法,我们就可以把netstat从基础工具升级为网络诊断武器库。建议在日常巡检中建立连接数基线(baseline),当指标异常波动时能快速响应。记住:netstat虽强大,但在超大规模集群中应考虑/proc/net/tcp直接解析或eBPF方案。
还是那句话:干中学,学中干
如果觉得不错的话,麻烦点个关注,收藏谢谢。
毕竟:
我太想进步了
