ss即socket state,也就是说,是可以查看系统中socket的状态的。我们可以用netstat,但为什么还要用ss这个工具呢,当然ss也是有好处的。当我们打开的socket数量很多时,netstat就会变得慢了。
我们先来看看ss的使用格式:
[root@redhat ~]# ss ? ss: bison bellows (while parsing filter): "syntax error!" Sorry. Usage: ss [ OPTIONS ] ss [ OPTIONS ] [ FILTER ] -h, --help this message -V, --version output version information -n, --numeric don't resolve service names -r, --resolve resolve host names -a, --all display all sockets -l, --listening display listening sockets -o, --options show timer information -e, --extended show detailed socket information -m, --memory show socket memory usage -p, --processes show process using socket -i, --info show internal TCP information -s, --summary show socket usage summary -4, --ipv4 display only IP version 4 sockets -6, --ipv6 display only IP version 6 sockets -0, --packet display PACKET sockets -t, --tcp display only TCP sockets -u, --udp display only UDP sockets -d, --dccp display only DCCP sockets -w, --raw display only RAW sockets -x, --unix display only Unix domain sockets -f, --family=FAMILY display sockets of type FAMILY -A, --query=QUERY QUERY := {all|inet|tcp|udp|raw|unix|packet|netlink}[,QUERY] -F, --filter=FILE read filter information from FILE FILTER := [ state TCP-STATE ] [ EXPRESSION ] [root@redhat ~]#
ss的强大之处,大于可以设定过滤条件,我们可以根据socket的状态来进行过滤,也可通过端口与ip地址进行过滤。也就是我们在命令格式里面看到的STATE-FILTER与ADDRESS-FILTER。
首先看看STATE-FILTER,STATE-FILTER可用的过滤条件有:
1. 所有的TCP状态,包含:established, syn-sent, syn-recv, fin-wait-1, fin-wait-2, time-wait, closed, close-wait, last-ack, listen and closing.
2. all,包含所有的状态。
3. connected,除了listen与closed的所有其它状态。
4. synchronized,除了syn-sent的所有connected的状态。
5. bucket
6. big
使用时,如:
$ ss state connected再看看ADDRESS-FILTER,ADDRESS-FILTER用于过滤端口与地址。而且可以进行表达式组合。可用的子表达式有:
1. dst ADDRESS_PATTERN
2. src ADDRESS_PATTERN
3. dport RELOP PORT
4. sport RELOP PORT
5. autobound
其中ADDRESS_PATTERN为ip地址与端口匹配,ip:port,可以用*代替。RELOP为<= >=或==。
如:
[root@redhat ~]# ss dst 169.254.7.1 State Recv-Q Send-Q Local Address:Port Peer Address:Port ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45831 ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45827 ESTAB 0 0 169.254.6.1:36202 169.254.7.1:37520 ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45832 ESTAB 0 0 169.254.0.1:11001 169.254.7.1:39425 ESTAB 0 0 169.254.0.1:11003 169.254.7.1:57108 ESTAB 0 0 169.254.0.1:7331 169.254.7.1:55076 ESTAB 0 0 169.254.0.1:11002 169.254.7.1:60527 ESTAB 0 0 169.254.6.1:57477 169.254.7.1:7331 ESTAB 0 0 169.254.0.1:shell 169.254.7.1:54370 ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45812 ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45813 ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45810 ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45811 ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45808 ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45816 ESTAB 0 0 169.254.0.1:4565 169.254.7.1:45806 [root@redhat ~]#
多个子表达式之间可以组合,当然跟tcpdump一样,可以用or and not来组合。但括号要用转义符号表示。
如:
[root@redhat ~]# ss -o state fin-wait-1 \( sport = :http or sport = :https \) dst 193.233.7/24
看看几个例子:
查看系统总体信息:
[root@redhat ~]# ss -s Total: 160 (kernel 194) TCP: 48 (estab 31, closed 0, orphaned 0, synrecv 0, timewait 0/0), ports 49 Transport Total IP IPv6 * 194 - - RAW 0 0 0 UDP 5 5 0 TCP 48 48 0 INET 53 53 0 FRAG 0 0 0 [root@redhat ~]#
想看当前机器的11001端口被谁占用了:
[root@redhat ~]#ss -lp src :11001 Recv-Q Send-Q Local Address:Port Peer Address:Port 0 0 169.254.0.1:11001 *:* users:(("syslog-ng",21761,12)) [root@redhat ~]#
我们可以看到,是一个叫syslog-ng的进程,进程id是21761。
