如何在Linux系统的实例中通过netstat命令查看系统端口信息的使用-阿里云帮助中心

免责声明： 本文档可能包含第三方产品信息，该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响，不做任何暗示或其他形式的承诺。

概述

本文介绍了在Linux系统的实例中通过netstat命令查看系统端口信息的使用。

阿里云提醒您：

如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。

如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。

如果您在阿里云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。

本文主要介绍在Linux系统中netstat命令的以下几种用法。

netstat命令通常是用来监控TCP/IP网络的工具，可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。如果需要了解当前系统开放了哪些端口，及这些端口的关联进程和用户，可以通过netstat命令进行查询。此处介绍了netstat命令的语法和参数，步骤如下。

netstat [$Parameter]

注：[$Parameter]为netstat命令参数。

参数说明如下。

通常结合grep、wc或sort等命令来分析系统连接情况和连接数状态，可以判断服务器是否被攻击，命令组合使用介绍参考如下。

执行如下命令，显示所有活动的网络连接。
```
netstat -na
```
执行如下命令，显示所有指定端口的网络连接并排序。如果该指定端口被Web服务进程监听，就可以通过查看该指定端口监控Web服务。如果看到同一个IP有大量连接，则判定该IP疑似存在单点流量攻击行为。
```
netstat -an | grep :[$Port] | sort
```
注：[$Port]为Linux系统指定的端口号。
执行如下命令，统计当前服务器有多少个活动的指定服务连接数。正常来说这会很小，一般小于5。在遭受DDoS攻击时，会造成该值会很高，但是该值并不能用来判断是否遭受DDoS攻击，因为在高并发服务器上，该值也会很高。
```
netstat -n -p|grep [$Server] | wc -l
```
注：[$Server]指需要查看的服务名或进程名。
执行如下命令，列出所有与指定服务连接点连接过的IP地址。
```
netstat -n -p | grep [$Server] | sort -u
```
执行如下命令，列出所有发送指定服务连接点的IP地址。
```
netstat -n -p | grep [$Server] | awk '{print $5}' | awk -F: '{print $1}'
```

执行如下命令，统计所有连接到本机的IP地址。

netstat -ntu | awk '{print $5}' | cut -d: -f1 |
sort | uniq -c |
sort -n

执行如下命令，统计所有TCP和UDP连接到本机的IP和连接次数。

netstat -anp | egrep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 |
sort | uniq -c |
sort -n

执行如下命令，检查ESTABLISHED连接并且统计出每个IP地址的连接次数。
```
netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 |
sort | uniq -c |
sort -nr
```
执行如下命令，统计出连接到指定端口的IP地址连接次数，并列出排名前10的IP地址信息和该IP地址的连接次数。如果有单个IP地址存在大量连接，则判断为该IP地址是单点流量攻击行为。
```
netstat -antp |awk '$4 ~ /:80$/ {print $4" "$5}'|awk '{print $2}'|awk -F : {'print $1'}|uniq -c|sort -nr|head -n 10
```

执行如下命令，根据对应的端口号，查找出对应端口号占用的进程信息。
```
netstat -antp | grep [$Port]
```
执行如下命令，根据以上步骤获取的进程ID号，结束指定进程，解决端口占用问题。
```
kill -9 [$PID]
```
注：[$PID]为上一步获取到的指定端口PID进程号。