端口 80 上的所有连接
$.NETstat -anp | grep :80
网络统计帮助
$ netstat -h
netstat -ltunp |
所有监听端口 |
netstat -ltn |
监听 TCP 端口 |
netstat -lun |
监听 UDP 端口 |
netstat -lx |
监听 Unix 端口 |
netstat -lt |
仅列出侦听 TCP 端口 |
netstat -lu |
仅列出侦听 UDP 端口 |
netstat -l |
列出所有监听条件 |
netstat -a |
所有连接 |
netstat -at |
所有 TCP 连接 |
netstat -au |
所有 UDP 连接 |
netstat -ant |
显示没有反向 DNS 查找的 IP 地址 |
netstat |
活动连接 |
netstat -a |
所有连接 |
netstat -at |
所有 TCP 连接 |
netstat -au |
所有 UDP 连接 |
netstat -ant |
显示没有反向 DNS 查找的 IP 地址 |
netstat -tnl |
监听 TCP 端口 |
netstat -unl |
监听 UDP 端口 |
netstat -i |
显示网络接口 |
netstat -ie |
显示网络接口扩展信息 |
netstat -n |
仅显示 IP 地址 |
netstat -F |
尽可能显示 IP 地址的域名 |
netstat -r |
显示路由表 |
netstat -rn |
显示路由表,不解析主机 |
netstat -s |
显示统计信息 |
netstat -st |
显示 TCP 统计信息 |
netstat -su |
显示 UDP 统计信息 |
netstat -ltpe |
使用进程信息和扩展信息显示 TCP 的侦听连接 |
netstat -tp |
显示带有 PID 编号的服务名称 |
sudo netstat -nlpt |
列出进程名称/PID 和用户 ID |
netstat -nlptue |
所有带有 PID 和扩展信息的侦听端口 |
netstat -M |
显示伪装的连接 |
$ netstat --tcp --numeric
$ netstat -atnp | grep ESTA
$ watch -d -n0 "netstat -atnp | grep ESTA"
$ netstat -anp | grep":"
插入端口号(上图)代替冒号 :
$ sudo netstat -aple | grep ntp
你可以用http、smtp代替ntp
$ netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
$ netstat -tn 2>/dev/null | grep ':80 ' | awk '{print $5}' |sed -e 's/::ffff://' | cut -f1 -d: | sort | uniq -c | sort -rn | head
$ netstat -an |grep :80 |wc -l
$ netstat -antu | grep :80 | grep -v LISTEN | awk '{print $5}'
以下命令将输出服务器上正在发生和正在发生的活动 SYNC_REC 数量。数量应该很低(小于 5)。如果该数字为两位数,则您可能正在遭受 DoS 攻击或被邮件轰炸。
$ netstat -n -p|grep SYN_REC | wc -l
$ netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
与上面的命令一样,该命令也列出了发送 SYN_REC 连接状态的节点的所有唯一 IP 地址
$ netstat -antu | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -n
或者
$ netstat -antu | awk '$5 ~ /[0-9]:/{split($5, a, ":"); ips[a[1]]++} END {for (ip in ips) print ips[ip], ip | "sort -k1 -nr"}'
$ netstat -plntu
$ netstat -plnt
$ netstat -an | grep 80 | wc -l
$ netstat -pnut -w | column -t -s $'t'