Linux系統使用 netstat 查看和檢查系統端口占用情況

在(zai) Linux 使用過(guo)程中，如果需(xu)要了解當前(qian)系統開(kai)放了哪些端口，及這些端口的關聯進程和用戶，可以通過(guo) netstat 命(ming)令進行查詢(xun)。

netstat 命令各參數說明如下：

-t：指(zhi)明顯示 TCP 端(duan)口(kou)

-u：指明顯示 UDP 端口

-l：僅顯示監聽套接字

-p：顯示(shi)進(jin)程(cheng)(cheng)標(biao)識符和程(cheng)(cheng)序(xu)名稱，每一(yi)個套接字/端口(kou)都屬于一(yi)個程(cheng)(cheng)序(xu)。

-n：不進行(xing) DNS 輪詢，顯(xian)示 IP （可(ke)以加速操(cao)作）

常用的 netstat 命(ming)令組合

netstat -na

該命(ming)令將(jiang)顯示(shi)所有活(huo)動的網絡連(lian)接(jie)。

同時，還(huan)可(ke)以(yi)結合使用 grep、wc、sort 等 linux 命令來(lai)分析系(xi)統中連接(jie)情況，查(cha)看連接(jie)數狀(zhuang)況，判斷(duan)服務器是否被(bei)攻擊。

netstat -an | grep :80 | sort

顯示所(suo)有(you)(you) 80 端口的網(wang)絡連接(jie)并排序。這里(li)的 80 端口是 http 端口，所(suo)以可以用來(lai)監控 web 服(fu)務。如果看到(dao)同一個 IP 有(you)(you)大量連接(jie)，則判定該 IP 疑似存(cun)在單點流(liu)量攻擊行為。

netstat -n -p|grep SYN_REC | wc -l

統計當前(qian)服務(wu)器有多少(shao)個活動的 SYNC_REC 連接數。正常來說(shuo)這(zhe)個值很小（小于 5）。

說明：當(dang)有(you) DDos 攻(gong)擊或時(shi)，該值可能會非常高。但有(you)些并發很(hen)(hen)高的服(fu)務器，該值也確實(shi)很(hen)(hen)高，因此該很(hen)(hen)高并不能說明一定(ding)是(shi)被攻(gong)擊所致。

netstat -n -p | grep SYN_REC | sort -u

列出所有連接過(guo)的(de) IP 地址。

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列出所(suo)有發送 SYN_REC 連接節(jie)點的 IP 地(di)址。

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

計算每(mei)個(ge)主機(ji)連(lian)接到本機(ji)的(de)連(lian)接數(shu)。

netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列(lie)出所(suo)有連(lian)接到本機的 UDP 或者(zhe) TCP 連(lian)接的 IP 數量。

netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

檢查 ESTABLISHED 連(lian)接并且列(lie)出每個 IP 地址的連(lian)接數量。

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

列出所(suo)有連接到本機 80 端(duan)口的 IP 地(di)址及(ji)其(qi)連接數。80 端(duan)口一般是用來處理 HTTP 網頁請求。

netstat -antp | awk '$4 ~ /:80$/ {print $4" "$5}' | awk '{print $2}'|awk -F : {'print $1'} | uniq -c | sort -nr | head -n 10

顯(xian)示(shi)連(lian)(lian)(lian)接(jie)(jie)到 80 端(duan)口連(lian)(lian)(lian)接(jie)(jie)數(shu)排名前(qian) 10 的 IP，并顯(xian)示(shi)每(mei)個(ge) IP 的連(lian)(lian)(lian)接(jie)(jie)數(shu)。如果看到同一個(ge) IP 有(you)大量連(lian)(lian)(lian)接(jie)(jie)，則(ze)判(pan)定該 IP 疑似存在單點流量攻擊行為。

如何停止端口占用

可以通(tong)過如下步驟來(lai)停止端口(kou)占用：

1.查找端口占用的進程(cheng)

使用如下命(ming)令來查看（以查看9000端口為例）：netstat -antp | grep 9000

示例輸出：