SS的篡权
CentOS 7 系统最小化安装时,执行 netstat 时,提示没有此命令?why?
比较奇怪,yum install netstat 后仔细看了下 man 文档。发现 netstat 中默认有这么一句话:
NOTES: This program is obsolete. Replacement for netstat is ss. Replacement for netstat -r is ip route. Replacement for netstat -i is ip -s link. Replacement for netstat -g is ip maddr.
中文意思是:
netstat 这个命令马上就要废弃了,替代命令是 ss。对应的命令是
| 旧命令 | 新命令 |
|---|---|
| netstat -r | ip route |
| netstat -i | ip -s link |
| netstat -g | ip maddr |
为了清晰一些,我做了一张对比图:
226fd4432b5375ccc708a85249bc3fdf.png
ss替换netstat的原因
ss命令 也是用来显示系统处于活动状态的套接字信息,但为什么要废弃 netstat 呢?
1、ss速度快
有好事网友专门做的压力测试,在等同服务器压力条件下,两个工具有明显的性能差别:
netstat -at | wc 耗时 15.60 秒
ss -atr | wc 耗时 5.40 秒(未利用tcp_diag)
ss -atr | wc 耗时 0.47 秒(利用tcp_diag)
看来 ss 的实现原理和 netstat 有本质区别。
是的,天下武功唯快不破。ss 快的秘诀在于,它利用到了 TCP 协议栈中tcp_diag 。tcp_diag 是一个用于分析统计的模块,可以获得 Linux 内核中第一手的信息,这就确保了 ss 的快捷高效。当然,如果你的系统中没有tcp_diag , ss 也可以正常运行,只是效率会变得稍慢。
当服务器的socket连接数量变得非常大时,无论是使用 netstat 命令还是直接 cat /proc/net/tcp,执行速度都会很慢。可能你不会有切身的感受,但请相信我,当服务器维持的连接达到上万个的时候,使用 netstat 等于浪费 生命,而用ss 才是节省时间。
2、 ss 展示更详细的系统性能信息
如 ss 的 man 文档:
ss is used to dump socket statistics. It allows showing information similar to netstat. It can display more TCP and state informations than other tools.
ss 命令可以用来获取 socket 统计信息,它可以显示和 netstat 类似的内容。但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效。
3、两者属于不同阵营
几乎所有的Linux系统都会默认包含netstat命令,但并非所有系统都会默认包含ss命令。netstat命令是net-tools工具集中的一员:
# rpm -q net-tools
net-tools-2.0-0.25.20131004git.el7.x86_64
而ss命令是iproute工具集中的一员:
# rpm -qf /usr/sbin/ss
iproute-4.11.0-25.el7_7.2.x86_64
# rpm -q iproute
iproute-4.11.0-25.el7_7.2.x86_64
如果你无法使用ss命令,那么可能是缺少了iproute,需要安装一下:
yum install iproute iproute-doc
net-tools 是一套标准的Unix网络工具,用于配置网络接口、设置路由表信息、管理ARP表、显示和统计各类网络信息等等,但是遗憾的是,这个工具自2001年起便不再更新和维护了。
而新秀 iproute是一套可以支持IPv4/IPv6网络的用于管理TCP/UDP/IP网络的工具集,这套工具由Stephen Hemminger负责维护和升级。
从某种意义上说,iproute工具集几乎可以替代掉net-tools工具集,具体的替代方案是这样的:
| 用途 | net-tool(被淘汰) | iproute2 |
|---|---|---|
| 地址和链路配置 | ifconfig | ip addr, ip link |
| 路由表 | route | ip route |
| 邻居 | arp | ip neigh |
| VLAN | vconfig | ip link |
| 隧道 | iptunnel | ip tunnel |
| 组播 | ipmaddr | ip maddr |
| 统计 | netstat | ss |
ss 命令详解
语法
ss [参数]
ss [参数] [过滤]
选项
-h, --help 帮助信息
-V, --version 程序版本信息
-n, --numeric 不解析服务名称
-r, --resolve 解析主机名
-a, --all 显示所有套接字(sockets)
-l, --listening 显示监听状态的套接字(sockets)
-o, --options 显示计时器信息
-e, --extended 显示详细的套接字(sockets)信息
-m, --memory 显示套接字(socket)的内存使用情况
-p, --processes 显示使用套接字(socket)的进程
-i, --info 显示 TCP内部信息
-s, --summary 显示套接字(socket)使用概况
-4, --ipv4 仅显示IPv4的套接字(sockets)
-6, --ipv6 仅显示IPv6的套接字(sockets)
-0, --packet 显示 PACKET 套接字(socket)
-t, --tcp 仅显示 TCP套接字(sockets)
-u, --udp 仅显示 UCP套接字(sockets)
-d, --dccp 仅显示 DCCP套接字(sockets)
-w, --raw 仅显示 RAW套接字(sockets)
-x, --unix 仅显示 Unix套接字(sockets)
-f, --family=FAMILY 显示 FAMILY类型的套接字(sockets),FAMILY可选,支持 unix, inet, inet6, link, netlink
-A, --query=QUERY, --socket=QUERY
QUERY := {all|inet|tcp|udp|raw|unix|packet|netlink}[,QUERY]
-D, --diag=FILE 将原始TCP套接字(sockets)信息转储到文件
-F, --filter=FILE 从文件中都去过滤器信息
FILTER := [ state TCP-STATE ] [ EXPRESSION ]
【场景一:查看当前用品的网络连接统计】
[root@instance-1 ~]# ss -s
Total: 209 (kernel 252)
TCP: 15 (estab 5, closed 0, orphaned 0, synrecv 0, timewait 0/0), ports 0
Transport Total IP IPv6
* 252 - -
RAW 1 0 1
UDP 4 2 2
TCP 15 10 5
INET 20 12 8
FRAG 0 0 0
【场景二:查看所有打开的网络端口】
[root@instance-1 ~]# ss -l
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
nl UNCONN 0 0 rtnl:kernel *
nl UNCONN 0 0 rtnl:NetworkManager/579 *
nl UNCONN 0 0 rtnl:NetworkManager/579 *
nl UNCONN 768 0 tcpdiag:kernel *
nl UNCONN 4352 0 tcpdiag:ss/25263 *
nl UNCONN 0 0 xfrm:kernel *
nl UNCONN 0 0 selinux:systemd/1 *
nl UNCONN 0 0 selinux:kernel *
【场景三:查看所有 socket连接】
ss -a
查看
TCP sockets:-ta选项;查看
UDP sockets:-ua选项;查看
RAW sockets:-wa选项;查看
UNIX sockets:-xa选项。
【场景四:结合awk统计系统所有状态】
netstat 统计系统TCP各状态信息
[root@instance-1 ~]# netstat -tan | awk '/^tcp/ {state[$NF]++}END{for(i in state) print i,state[i]}'
LISTEN 9
CLOSE_WAIT 1
ESTABLISHED 5
ss 统计系统TCP各状态信息
[root@instance-1 ~]# ss -atn | awk '{state[$1]++}END{for(i in state) print i,state[i]}'
LISTEN 9
CLOSE-WAIT 1
ESTAB 5
State 1
【其它更多案例】
ss -t -a # 显示TCP连接
ss -s # 显示 Sockets 摘要
ss -l # 列出所有打开的网络连接端口
ss -pl # 查看进程使用的socket
ss -lp | grep 3306 # 找出打开套接字/端口应用程序
ss -u -a 显示所有UDP Sockets
ss -o state established '( dport = :smtp or sport = :smtp )' # 显示所有状态为established的SMTP连接
ss -o state established '( dport = :http or sport = :http )' # 显示所有状态为Established的HTTP连接
ss -o state fin-wait-1 '( sport = :http or sport = :https )' dst 193.233.7/24 # 列举出处于 FIN-WAIT-1状态的源端口为 80或者 443,目标网络为 193.233.7/24所有 tcp套接字
# ss 和 netstat 效率对比
time netstat -at
time ss
# 匹配远程地址和端口号
# ss dst ADDRESS_PATTERN
ss dst 192.168.1.5
ss dst 192.168.119.113:http
ss dst 192.168.119.113:smtp
ss dst 192.168.119.113:443
# 匹配本地地址和端口号
# ss src ADDRESS_PATTERN
ss src 192.168.119.103
ss src 192.168.119.103:http
ss src 192.168.119.103:80
ss src 192.168.119.103:smtp
ss src 192.168.119.103:25
