语法

  1. ss [参数]
  2. ss [参数] [过滤]

选项

  1. -h, --help      帮助信息
  2. -V, --version   程序版本信息
  3. -n, --numeric   不解析服务名称
  4. -r, --resolve   解析主机名
  5. -a, --all       显示所有套接字(sockets
  6. -l, --listening 显示监听状态的套接字(sockets
  7. -o, --options   显示计时器信息
  8. -e, --extended  显示详细的套接字(sockets)信息
  9. -m, --memory    显示套接字(socket)的内存使用情况
  10. -p, --processes 显示使用套接字(socket)的进程
  11. -i, --info      显示 TCP内部信息
  12. -s, --summary   显示套接字(socket)使用概况
  13. -4, --ipv4      仅显示IPv4的套接字(sockets
  14. -6, --ipv6      仅显示IPv6的套接字(sockets
  15. -0, --packet    显示 PACKET 套接字(socket
  16. -t, --tcp       仅显示 TCP套接字(sockets
  17. -u, --udp       仅显示 UCP套接字(sockets
  18. -d, --dccp      仅显示 DCCP套接字(sockets
  19. -w, --raw       仅显示 RAW套接字(sockets
  20. -x, --unix      仅显示 Unix套接字(sockets
  21. -f, --family=FAMILY  显示 FAMILY类型的套接字(sockets),FAMILY可选,支持  unix, inet, inet6, link, netlink
  22. -A, --query=QUERY, --socket=QUERY
  23.       QUERY := {all|inet|tcp|udp|raw|unix|packet|netlink}[,QUERY]
  24. -D, --diag=FILE     将原始TCP套接字(sockets)信息转储到文件
  25.  -F, --filter=FILE  从文件中都去过滤器信息
  26.        FILTER := [ state TCP-STATE ] [ EXPRESSION ]

常用

  1. ss -tunlp

实例

  1. ss -t -a    # 显示TCP连接
  2. ss -s       # 显示 Sockets 摘要
  3. ss -l       # 列出所有打开的网络连接端口
  4. ss -pl      # 查看进程使用的socket
  5. ss -lp | grep 3306  # 找出打开套接字/端口应用程序
  6. ss -u -a    显示所有UDP Sockets
  7. ss -o state established '( dport = :smtp or sport = :smtp )' # 显示所有状态为established的SMTP连接
  8. ss -o state established '( dport = :http or sport = :http )' # 显示所有状态为Established的HTTP连接
  9. ss -o state fin-wait-1 '( sport = :http or sport = :https )' dst 193.233.7/24  # 列举出处于 FIN-WAIT-1状态的源端口为 80或者 443,目标网络为 193.233.7/24所有 tcp套接字
  11. # ss 和 netstat 效率对比
  12. time netstat -at
  13. time ss
  15. # 匹配远程地址和端口号
  16. # ss dst ADDRESS_PATTERN
  17. ss dst 192.168.1.5
  18. ss dst 192.168.119.113:http
  19. ss dst 192.168.119.113:smtp
  20. ss dst 192.168.119.113:443
  22. # 匹配本地地址和端口号
  23. # ss src ADDRESS_PATTERN
  24. ss src 192.168.119.103
  25. ss src 192.168.119.103:http
  26. ss src 192.168.119.103:80
  27. ss src 192.168.119.103:smtp
  28. ss src 192.168.119.103:25

将本地或者远程端口和一个数比较

  1. # ss dport OP PORT 远程端口和一个数比较;
  2. # ss sport OP PORT 本地端口和一个数比较
  3. # OP 可以代表以下任意一个:
  4. # <= or le : 小于或等于端口号
  5. # >= or ge : 大于或等于端口号
  6. # == or eq : 等于端口号
  7. # != or ne : 不等于端口号
  8. # < or gt : 小于端口号
  9. # > or lt : 大于端口号
  10. ss  sport = :http
  11. ss  dport = :http
  12. ss  dport \> :1024
  13. ss  sport \> :1024
  14. ss sport \< :32000
  15. ss  sport eq :22
  16. ss  dport != :22
  17. ss  state connected sport = :http
  18. ss \( sport = :http or sport = :https \)
  19. ss -o state fin-wait-1 \( sport = :http or sport = :https \) dst 192.168.1/24

用TCP 状态过滤Sockets

  1. ss -4 state closing
  2. # ss -4 state FILTER-NAME-HERE
  3. # ss -6 state FILTER-NAME-HERE
  4. # FILTER-NAME-HERE 可以代表以下任何一个:
  5. # established、 syn-sent、 syn-recv、 fin-wait-1、 fin-wait-2、 time-wait、 closed、 close-wait、 last-ack、 listen、 closing、
  6. # all : 所有以上状态
  7. # connected : 除了listen and closed的所有状态
  8. # synchronized :所有已连接的状态除了syn-sent
  9. # bucket : 显示状态为maintained as minisockets,如:time-wait和syn-recv.
  10. # big : 和bucket相反.

显示ICP连接

  1. [root@localhost ~]# ss -t -a
  2. State       Recv-Q Send-Q                            Local Address:Port                                Peer Address:Port
  3. LISTEN      0      0                                             *:3306                                           *:*
  4. LISTEN      0      0                                             *:http                                           *:*
  5. LISTEN      0      0                                             *:ssh                                            *:*
  6. LISTEN      0      0                                     127.0.0.1:smtp                                           *:*
  7. ESTAB       0      0                                112.124.15.130:42071                              42.156.166.25:http
  8. ESTAB       0      0                                112.124.15.130:ssh                              121.229.196.235:33398

显示 Sockets 摘要

  1. [root@localhost ~]# ss -s
  2. Total: 172 (kernel 189)
  3. TCP:   10 (estab 2, closed 4, orphaned 0, synrecv 0, timewait 0/0), ports 5
  5. Transport Total     ip        IPv6
  6. *         189       -         -
  7. RAW       0         0         0
  8. UDP       5         5         0
  9. TCP       6         6         0
  10. INET      11        11        0
  11. FRAG      0         0         0

列出当前的established, closed, orphaned and waiting TCP sockets

列出所有打开的网络连接端口

  1. [root@localhost ~]# ss -l
  2. Recv-Q Send-Q                                 Local Address:Port                                     Peer Address:Port
  3. 0      0                                                  *:3306                                                *:*
  4. 0      0                                                  *:http                                                *:*
  5. 0      0                                                  *:ssh                                                 *:*
  6. 0      0                                          127.0.0.1:smtp                                                *:*

查看进程使用的 socket

  1. [root@localhost ~]# ss -pl
  2. Recv-Q Send-Q                                          Local Address:Port                                              Peer Address:Port
  3. 0      0                                                           *:3306                                                         *:*        users:(("mysqld",1718,10))
  4. 0      0                                                           *:http                                                         *:*        users:(("nginx",13312,5),("nginx",13333,5))
  5. 0      0                                                           *:ssh                                                          *:*        users:(("sshd",1379,3))
  6. 0      0                                                   127.0.0.1:smtp                                                         *:*        us

查看进程使用的socket找出打开套接字/端口应用程序

  1. [root@localhost ~]# ss -pl | grep 3306
  2. 0      0                            *:3306                          *:*        users:(("mysqld",1718,10))

显示所有UDP Sockets

  1. [root@localhost ~]# ss -u -a
  2. State       Recv-Q Send-Q                                     Local Address:Port                                         Peer Address:Port
  3. UNCONN      0      0                                                      *:syslog                                                  *:*
  4. UNCONN      0      0                                         112.124.15.130:ntp                                                     *:*
  5. UNCONN      0      0                                            10.160.7.81:ntp                                                     *:*
  6. UNCONN      0      0                                              127.0.0.1:ntp                                                     *:*
  7. UNCONN      0      0                                                      *:ntp                                                     *:*

出所有端口为 22(ssh)的连接

  1. [root@localhost ~]# ss state all sport = :ssh
  2. Netid State      Recv-Q Send-Q     Local Address:Port                      Peer Address:Port
  3. tcp   LISTEN     0      128                    *:ssh                                  *:*
  4. tcp   ESTAB      0      0          192.168.0.136:ssh                      192.168.0.102:46540
  5. tcp   LISTEN     0      128                   :::ssh                                 :::*

查看TCP的连接状态

  1. [root@localhost ~]# ss  -tan|awk 'NR>1{++S[$1]}END{for (a in S) print a,S[a]}'
  2. LISTEN 7
  3. ESTAB 31
  4. TIME-WAIT 28
  1.  ss -a | awk '{print $2}'|sort -nr|uniq -c