在Internet RFC標準中，Netstat的定義是： Netstat是在內核中訪問網絡連接狀態及其相關信息的程序，它能提供TCP連接，TCP和UDP監聽，進程內存管理的相關報告。

Netstat是控制臺命令，是一個監控TCP/IP網絡的非常有用的工具，它可以顯示路由表、實際的網絡連接以及每一個網絡接口設備的狀態信息。Netstat用于顯示與IP、TCP、UDP和ICMP協議相關的統計數據，一般用于檢驗本機各端口的網絡連接情況。

如果你的計算機有時候接收到的數據包導致出錯數據或故障，你不必感到奇怪，TCP/IP可以容許這些類型的錯誤，并能夠自動重發數據包。但如果累計的出錯情況數目占到所接收的IP數據報相當大的百分比，或者它的數目正迅速增加，那么你就應該使用Netstat查一查為什么會出現這些情況了。

一般用netstat -an 來顯示所有連接的端口并用數字表示。

netstat命令的功能是顯示網絡連接、路由表和網絡接口信息，可以讓用戶得知有哪些網絡連接正在運作。使用時如果不帶參數，netstat顯示活動的 TCP 連接。

netstat命令詳解

它主要的用法和詳解！

（netstat -na 命令），本文主要是說Linux下的netstat工具，然后詳細說明一下各種網絡連接狀態。

netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -nr

1.netstat命令詳解

其實我常用的是 netstat -tnl | grep 443 （查看443端口是否被占用），如果有當前是root用戶，我喜歡用netstat -pnl | grep 443 （還可顯示出占用本機443端口的進程PID）。

netstat

功能說明：顯示網絡狀態。

語法：netstat ［-acCeFghilMnNoprstuvVwx］ ［-A《網絡類型》］［--ip］

補充說明：利用netstat指令可讓你得知整個Linux系統的網絡情況。

參數：

-a 或–all 顯示所有連線中的Socket。

-A 《網絡類型》或–《網絡類型》 列出該網絡類型連線中的相關地址。

-c 或–continuous 持續列出網絡狀態。

-C 或–cache 顯示路由器配置的快取信息。

-e 或–extend 顯示網絡其他相關信息。

-F 或 –fib 顯示FIB。

-g 或–groups 顯示多重廣播功能群組組員名單。

-h 或–help 在線幫助。

-i 或–interfaces 顯示網絡界面信息表單。

-l 或–listening 顯示監控中的服務器的Socket。

-M 或–masquerade 顯示偽裝的網絡連線。

-n 或–numeric 直接使用IP地址，而不通過域名服務器。

-N 或–netlink或–symbolic 顯示網絡硬件外圍設備的符號連接名稱。

-o 或–timers 顯示計時器。

-p 或–programs 顯示正在使用Socket的程序識別碼和程序名稱。

-r 或–route 顯示 Routing Table。

-s 或–statistice 顯示網絡工作信息統計表。

-t 或–tcp 顯示TCP 傳輸協議的連線狀況。

-u或–udp 顯示UDP傳輸協議的連線狀況。

-v或–verbose 顯示指令執行過程。

-V 或–version 顯示版本信息。

-w或–raw 顯示RAW傳輸協議的連線狀況。

-x或–unix 此參數的效果和指定”-A unix”參數相同。

–ip或–inet 此參數的效果和指定”-A inet”參數相同。

2.網絡連接狀態詳解

共有12中可能的狀態，前面11種是按照TCP連接建立的三次握手和TCP連接斷開的四次揮手過程來描述的。

1）、LISTEN：首先服務端需要打開一個socket進行監聽，狀態為LISTEN./* The socket is listening for incoming connections. 偵聽來自遠方TCP端口的連接請求 */

2）、 SYN_SENT：客戶端通過應用程序調用connect進行active open.于是客戶端tcp發送一個SYN以請求建立一個連接。之后狀態置為SYN_SENT./*The socket is actively attempting to establish a connection. 在發送連接請求后等待匹配的連接請求 */

3）、 SYN_RECV：服務端應發出ACK確認客戶端的 SYN，同時自己向客戶端發送一個SYN. 之后狀態置為SYN_RECV/* A connection request has been received from the network. 在收到和發送一個連接請求后等待對連接請求的確認 */

4）、ESTABLISHED： 代表一個打開的連接，雙方可以進行或已經在數據交互了。/* The socket has an established connection. 代表一個打開的連接，數據可以傳送給用戶 */

5）、 FIN_WAIT1：主動關閉（active close）端應用程序調用close，于是其TCP發出FIN請求主動關閉連接，之后進入FIN_WAIT1狀態。/* The socket is closed， and the connection is shutting down. 等待遠程TCP的連接中斷請求，或先前的連接中斷請求的確認 */

6）、CLOSE_WAIT：被動關閉（passive close）端TCP接到FIN后，就發出ACK以回應FIN請求（它的接收也作為文件結束符傳遞給上層應用程序），并進入CLOSE_WAIT./* The remote end has shut down， waiting for the socket to close. 等待從本地用戶發來的連接中斷請求 */

7）、FIN_WAIT2：主動關閉端接到ACK后，就進入了 FIN-WAIT-2 。/* Connection is closed， and the socket is waiting for a shutdown from the remote end. 從遠程TCP等待連接中斷請求 */

8）、LAST_ACK：被動關閉端一段時間后，接收到文件結束符的應用程 序將調用CLOSE關閉連接。這導致它的TCP也發送一個 FIN，等待對方的ACK.就進入了LAST-ACK 。/* The remote end has shut down， and the socket is closed. Waiting for acknowledgement. 等待原來發向遠程TCP的連接中斷請求的確認 */

9）、TIME_WAIT：在主動關閉端接收到FIN后，TCP 就發送ACK包，并進入TIME-WAIT狀態。/* The socket is waiting after close to handle packets still in the network.等待足夠的時間以確保遠程TCP接收到連接中斷請求的確認 */

10）、CLOSING： 比較少見。/* Both sockets are shut down but we still don’t have all our data sent. 等待遠程TCP對連接中斷的確認 */

11）、CLOSED： 被動關閉端在接受到ACK包后，就進入了closed的狀態。連接結束。/* The socket is not being used. 沒有任何連接狀態 */

12）、UNKNOWN： 未知的Socket狀態。/* The state of the socket is unknown. */

SYN： （同步序列編號，Synchronize Sequence Numbers）該標志僅在三次握手建立TCP連接時有效。表示一個新的TCP連接請求。

ACK： （確認編號，Acknowledgement Number）是對TCP請求的確認標志，同時提示對端系統已經成功接收所有數據。

FIN： （結束標志，FINish）用來結束一個TCP回話。但對應端口仍處于開放狀態，準備接收后續數據。

PS： 在windows下有個小工具挺好的，TCPView is a Windows program that will show you detailed listings of all TCP and UDP endpoints on your system， including the local and remote addresses and state of TCP connections.見 http://technet.microsoft.com/en-us/sysinternals/bb897437 ； 當然如果要詳細分析數據包，可選用sniffer、Wireshark等更強大的工具。

參考資料：

http://linux.sheup.com/linux/4/31225.html

http://hi.baidu.com/mqbest_come_on/blog/item/18526dcef73d791a00e928e5.html

http://www.daxigua.com/archives/1355

系統連接狀態篇：

1.查看TCP連接狀態

netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn

netstat -n | awk ‘/^tcp/ {++S［$NF］};END {for（a in S） print a， S［a］}’ 或

netstat -n | awk ‘/^tcp/ {++state［$NF］}; END {for（key in state） print key，”\t”，state［key］}’

netstat -n | awk ‘/^tcp/ {++arr［$NF］};END {for（k in arr） print k，”\t”，arr［k］}’

netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn

netstat -ant | awk ‘{print $NF}’ | grep -v ‘［a-z］‘ | sort | uniq -c

2.查找請求數請20個IP（常用于查找攻來源）：

netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F： ‘{print $1}’|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk ‘/：80/{split（$5，ip，”：”）;++A［ip［1］］}END{for（i in A） print A［i］，i}’ |sort -rn|head -n20

3.用tcpdump嗅探80端口的訪問看看誰最高

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F”。” ‘{print $1″?！?2″。”$3″。”$4}’ | sort | uniq -c | sort -nr |head -20

4.查找較多time_wait連接

netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20

5.找查較多的SYN連接

netstat -an | grep SYN | awk ‘{print $5}’ | awk -F： ‘{print $1}’ | sort | uniq -c | sort -nr | more

6.根據端口列進程

netstat -ntlp | grep 80 | awk ‘{print $7}’ | cut -d/ -f1

網站日志分析篇1（Apache）：

1.獲得訪問前10位的ip地址

cat access.log|awk ‘{print $1}’|sort|uniq -c|sort -nr|head -10

cat access.log|awk ‘{counts［$（11）］+=1}; END {for（url in counts） print counts［url］， url}’

2.訪問次數最多的文件或頁面，取前20

cat access.log|awk ‘{print $11}’|sort|uniq -c|sort -nr|head -20

3.列出傳輸最大的幾個exe文件（分析下載站的時候常用）

cat access.log |awk ‘（$7~/\.exe/）{print $10 ” ” $1 ” ” $4 ” ” $7}’|sort -nr|head -20

4.列出輸出大于200000byte（約200kb）的exe文件以及對應文件發生次數

cat access.log |awk ‘（$10 》 200000 && $7~/\.exe/）{print $7}’|sort -n|uniq -c|sort -nr|head -100

5.如果日志最后一列記錄的是頁面文件傳輸時間，則有列出到客戶端最耗時的頁面

cat access.log |awk ‘（$7~/\.php/）{print $NF ” ” $1 ” ” $4 ” ” $7}’|sort -nr|head -100

6.列出最最耗時的頁面（超過60秒的）的以及對應頁面發生次數

cat access.log |awk ‘（$NF 》 60 && $7~/\.php/）{print $7}’|sort -n|uniq -c|sort -nr|head -100

7.列出傳輸時間超過 30 秒的文件

cat access.log |awk ‘（$NF 》 30）{print $7}’|sort -n|uniq -c|sort -nr|head -20

8.統計網站流量（G）

cat access.log |awk ‘{sum+=$10} END {print sum/1024/1024/1024}’

9.統計404的連接

awk ‘（$9 ~/404/）’ access.log | awk ‘{print $9，$7}’ | sort

10. 統計http status.

cat access.log |awk ‘{counts［$（9）］+=1}; END {for（code in counts） print code， counts［code］}‘

cat access.log |awk ’{print $9}‘|sort|uniq -c|sort -rn

10.蜘蛛分析

查看是哪些蜘蛛在抓取內容。

/usr/sbin/tcpdump -i eth0 -l -s 0 -w - dst port 80 | strings | grep -i user-agent | grep -i -E ’bot|crawler|slurp|spider‘

網站日分析2（Squid篇）

2.按域統計流量

zcat squid_access.log.tar.gz| awk ’{print $10，$7}‘ |awk ’BEGIN{FS=“［ /］”}{trfc［$4］+=$1}END{for（domain in trfc）{printf “%s\t%d\n”，domain，trfc［domain］}}‘

效率更高的perl版本請到此下載：http://docs.linuxtone.org/soft/tools/tr.pl

數據庫篇

1.查看數據庫執行的sql

/usr/sbin/tcpdump -i eth0 -s 0 -l -w - dst port 3306 | strings | egrep -i ’SELECT|UPDATE|DELETE|INSERT|SET|COMMIT|ROLLBACK|CREATE|DROP|ALTER|CALL‘

系統Debug分析篇

1.調試命令

strace -p pid

2.跟蹤指定進程的PID

gdb -p pid