1. ss命令简介

ss 是 Socket Statistics 的缩写。ss 命令可以用来获取 socket 统计信息，它显示的内容和 netstat 类似。但 ss 的优势在于它能够显示更多更详细的有关 TCP 和连接状态的信息，而且比 netstat 更快。当服务器的 socket 连接数量变得非常大时，无论是使用 netstat 命令还是直接 cat /proc/net/tcp，执行速度都会很慢。ss 命令利用到了 TCP 协议栈中 tcp_diag。tcp_diag 是一个用于分析统计的模块，可以获得 Linux 内核中第一手的信息，因此 ss 命令的性能会好很多。

2. 常用选项

-h, --help 帮助

-V, --version 显示版本号

-t, --tcp 显示 TCP 协议的 sockets

-u, --udp 显示 UDP 协议的 sockets

-x, --unix 显示 unix domain sockets，与 -f 选项相同

-n, --numeric 不解析服务的名称，如 “22” 端口不会显示成 “ssh”

-l, --listening 只显示处于监听状态的端口

-p, --processes 显示监听端口的进程(Ubuntu 上需要 sudo)

-a, --all 对 TCP 协议来说，既包含监听的端口，也包含建立的连接

-r, --resolve 把 IP 解释为域名，把端口号解释为协议名称

3. 常见用法

如果不添加选项 ss 命令默认输出所有建立的连接(不包含监听的端口)，包括 tcp, udp, and unix socket 三种类型的连接：

3.1 查看前5名的连接：

[root@zcwyou ~]# ss |head -n 5

Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port

u_str ESTAB 0 0 * 20040 * 20041

u_str ESTAB 0 0 * 20030 * 20031

u_str ESTAB 0 0 * 20044 * 20043

u_str ESTAB 0 0 /run/dbus/system_bus_socket 18592 * 18591

3.2 查看主机的监听端口

[root@zcwyou ~]# ss -tnl

State Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 127.0.0.1:9016 :

LISTEN 0 128 127.0.0.1:9017 :

LISTEN 0 100 127.0.0.1:25 :

LISTEN 0 128 127.0.0.1:9018 :

LISTEN 0 128 127.0.0.1:1723 :

LISTEN 0 128 127.0.0.1:9019 :

3.3 linux查看tcp连接

[root@zcwyou ~]# ss -t -a

ESTAB 0 0 ::1:ssh ::1:53238

ESTAB 0 0 ::1:53278 ::1:ssh

ESTAB 0 0 ::1:ssh ::1:53280

ESTAB 0 0 ::1:53288 ::1:ssh

ESTAB 0 0 ::1:ssh ::1:53296

ESTAB 0 0 ::1:53294 ::1:ssh

ESTAB 0 0 ::1:48456 ::1:ssh

ESTAB 0 0 ::1:53286 ::1:ssh

ESTAB 0 0 ::1:53292 ::1:ssh

ESTAB 0 0 ::1:ssh ::1:53272

3.4 解析IP和端口号

使用-r选项

[root@zcwyou ~]# ss -tlr

State Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 my_public_ip:9016 :

LISTEN 0 128 my_public_ip:9017 :

LISTEN 0 100 localhost:smtp :

LISTEN 0 128 my_public_ip:9018 :

LISTEN 0 128 my_public_ip:pptp :

LISTEN 0 128 my_public_ip:9019 :

3.5 输出时带进程名称

使用-p选项

[root@zcwyou ~]# ss -s

Total: 2340 (kernel 2365)

TCP: 2126 (estab 72, closed 23, orphaned 1, synrecv 0, timewait 2/0), ports 0

Transport Total IP IPv6

* 2365 – –

RAW 1 0 1

UDP 2 1 1

TCP 2103 2059 44

INET 2106 2060 46

FRAG 0 0 0

3.6 根据条件过滤输出结果

可以通过语法过滤输出结果，根据源IP、源端口、目标IP、目标端口

src源

dst目标

ss dst 172.16.26.33

ss dst 172.16.26.43:http

ss dst 172.16.26.43:443

3.7 根据源端口号范围输出：

[root@zcwyou ~]# ss sport OP PORT

根据目标端口号范围输出：

ss dport OP PORT

OP 可以代表以下任意一个：

<=

le

小于或等于某个端口号

>=

ge

大于或等于某个端口号

==

eq

等于某个端口号

!=

ne

不等于某个端口号

>

gt

大于某个端口号

<

lt

小于某个端口号

比如：

输出源端口号小于8080的连接状态

[root@zcwyou ~]# ss -tunl sport lt 8080

或者

[root@zcwyou ~]# ss -tunl sport \< 8080

3.8 根据TCP 的状态进行过滤

ss命令还可以根据TCP连接的状态进行过滤，支持的 TCP 协议中的状态有：

established

syn-sent

syn-recv

fin-wait-1

fin-wait-2

time-wait

closed

close-wait

last-ack

listening

closing

除了上面的 TCP 状态，还可以使用下面这些状态：

状态

输出结果

all

输出所有TCP状态。

connected

输出已经建立连接的TCP状态。

synchronized

输出同步状态的连接。

bucket

输出maintained的状态，如：time-wait 和 syn-recv。

big

输出与bucket相反的状态。

只输出ipv4状态：

[root@zcwyou ~]# ss -4 state filter

只输出ipv6状态：

[root@zcwyou ~]# ss -6 state filter

输出ipv4监听状态：

[root@zcwyou ~]# ss -4 state listening

3.9 根据TCP状态和端口号进行过滤

输入出ipv4协议下的ssh监听状态：

[root@zcwyou ~]# ss -4n state listening \( dport = :ssh \)

或者

[root@zcwyou ~]# ss -4n state listening '( dport = :ssh )'

要么使用转义小括号，要么使用单引号

查看所有已经建立TCP三次握手的HTTP连接：

[root@zcwyou ~]# ss state established '( sport = :http or dport = :http )'

查看所有正在进程的ssh连接：

[root@zcwyou ~]# ss state all dport = :22

4. 总结

ss 命令功能丰富并且性能出色，完全可以替代 netsate 命令。已经成为我们日常查看 socket 相关信息的利器。未来netstat已经慢慢被ss取代。