Иногда бывает необходимо посмотреть какие сетевые подключения Linux открыты, какие IP адреса используются или какие порты прослушиваются. Раньше для таких целей использовалась утилита netstat. Её, без сомнения, знают все системные администраторы и специалисты по безопасности. Но она больше не поставляется по умолчанию в новых дистрибутивах. Вместо неё используется новая утилита под названием ss.
Netstat сканирует директорию /proc для получения необходимой информации, но в новых версиях ядра была реализована специальная подсистема для мониторинга сети в Linux. Её и использует ss, с помощью этой утилиты вы можете получить больше информации о сетевых подключениях и работает она гораздо быстрее.
Как вы уже поняли в этой статье мы рассмотрим мониторинг сетевых подключений в Linux с помощью утилиты из пакета iproute - ss linux. Начнем, как обычно, с синтаксиса и основных опций.
Содержание статьи
Общая информация
Как уже было сказано работает утилита ss в Linux на основе подсистемы ядра. Синтаксис очень простой - сама команда и ее опции:
$ ss опции [фильтр_состояния] [фильтр_адреса]
Для удобства вывод команды ss можно фильтровать с помощью grep:
$ ss опции | grep шаблон
Опции указывает различные параметры отображения и фильтрации информации. Фильтры по состоянию и адресу очень интересная вещь, они позволяют выполнять мониторинг сетевых подключений в Linux, только тех что нужно. Например, только открытых, закрытых или находящихся на этапе подключения. Подробнее мы рассмотрим это в конце статьи.
Опции утилиты ss
Для сетевых подключений в Linux с помощью утилиты ss можно использовать такие опции:
- -V - Version показать версию утилиты.
- -n - Numeric не определять имена служб.
- -r - Resolve определять сетевые имена адресов с помощью DNS.
- -a - All отобразить все сокеты (открытые соединения).
- -l - Listening показать только прослушиваемые сокеты.
- -o - Options показать информацию таймера.
- -e - Extended выводить расширенную информацию о сокете.
- -p - Processes, показать процессы, использующие сокет.
- -i - Internal, посмотреть внутреннюю информацию TCP.
- -s - Summary, статистика использования сокета.
- -D - экспортировать текущее состояние TCP сокетов в файл.
- -F - работать с информацией, взятой из файла.
Кроме того, можно вывести сокеты только нужного протокола:
- -4, --ipv4 - только сокеты протокола IP версии 4.
- -6 --ipv6 - только сокеты протокола IP версии 6.
- -0, --packet - только PACKET сокеты.
- -t, --tcp - TCP сокеты.
- -u, --udp - UDP сокеты.
- -d, --dhcp - DHCP сокеты.
- -r, --raw - RAW сокеты.
- -x, --unix - UNIX сокеты.
Для фильтрации протоколов можно использовать не только эти опции, но и универсальную опцию -f, передав ей в параметре название протокола. Здесь собраны самые основные опции, если вам нужно больше информации - смотрите справку команды.
Примеры использования
А теперь давайте рассмотрим примеры использования утилиты ss Linux. Возможно, из описания опций вы мало что поняли, но с примерами все встанет на свои места.
Мониторинг сетевых подключений
Сначала смотрим все сетевые подключения:
sudo ss
Посмотрим только TCP соединения:
sudo ss -t
Или:
sudo ss -f tcp
Теперь только Unix:
sudo ss -x
Для отображения UDP сокетов используйте опцию u. По умолчанию будут показаны только подключенные соединения. Если хотите получить все, нужно использовать опцию a. Поскольку UDP, это протокол без постоянного соединения, то без опции -a мы ничего не увидим:
sudo ss -ua
По умолчанию утилита не пытается определять имена хостов через dns, но можно ее попросить делать это опцией -r:
sudo ss -tr
Обратная опция -n, не будет выполняться не только dns резолвинг, но и определение протоколов портов, зато мониторинг сети в Linux работать будет быстрее:
sudo ss -tn
Теперь просмотрим только прослушиваемые tcp сокеты.
sudo ss -tl
Здесь мы видим только имена служб, это не всегда удобно, указав опцию n, мы получим номера портов. Так же само можно посмотреть прослушиваемые udp сокеты:
sudo ss -tun
Также мы можем попытаться узнать название и PID процесса, использующего сокет:
sudo ss -ltp
Просмотр статистики статистики сетевых подключений
Для просмотра статистики по использованию сетевых подключений наберите:
sudo ss -s
С помощью опции -о можно посмотреть информацию о таймере и состоянии подключения.
sudo ss -to
Фильтрация по протоколу
Мы можем отображать только нужный нам протокол. Например только ipv4:
sudo ss -tl -f inet4
Или:
sudo ss -tl4
Так же само можно отобразить только соединения ipv6:
sudo ss -tl6
Фильтрация по состоянию соединения
В синтаксисе команды мы описали два дополнительных параметра. Фильтрация состояния и фильтрация по адресу. Рассмотрим теперь как ими пользоваться. Сокет TCP может находиться в одном из нескольких состояний. Например, так утилита ss linux выведет только подключенные сокеты.
ss -t4 state established
Или сокеты в состоянии ожидания:
sudo ss -t4 state time-wait
В параметр state можно передать одно из следующих значений:
- established
- syn-sent
- syn-recv
- fin-wait-1
- fin-wait-2
- time-wait
- closed
- close-wait
- last-ack
- closing
- all - все состояния
- connected - все кроме прослушиваемых и закрытых
- synchronized - все кроме syn-sent
- bucket - time-wait и syn-recv
- big - все кроме bucket
Не все состояния подключений можно увидеть просто выполнив команду. Например, syn-sent и syn-recv вряд ли получиться словить, потому что соединения находятся в этом состоянии очень короткое время. Для их отображения удобно использовать команду watch:
watch -n 1 "ss -t4 state syn-sent"
После запуска команды откройте любой сайт в браузере. Вы увидите как появится одно или несколько соединений на несколько секунд.
Фильтрация по адресу и номеру порта
Кроме фильтрации по состоянию, tcp сокеты можно фильтровать по адресам или портам соединений.
Например, отберем все сетевые подключения linux с портом источником или приемником ssh, то есть все входящие и исходящие соединения ssh:
ss -at '( dport = :ssh or sport = :ssh )'
Или сокеты с портом назначения 80 или 443:
ss -nt '( dst :443 or dst :80 )'
Такой синтаксис тоже будет работать:
ss -nt dst :443 or dst :80
Еще несколько примеров фильтрации:
Фильтрация по адресу:
ss -nt dst 74.125.236.178
Фильтрация по адресу и подсети:
ss -nt dst 74.125.236.178/16
И по адресу и порту:
ss -nt dst 74.125.236.178:80
Если вы хотите фильтровать сетевые соединения по порту, перед портом ставьте двоеточие:
ss -nt dport = :80
Можно использовать такие операторы сравнения:
- <= или le - меньше или ровно порту.
- >= или ge - больше или ровно порту.
- == или eq - точное соответствие.
- != или ne - не равно.
- < или gt - меньше.
- > или lt - больше.
Выводы
Вот и всё. Основную информацию о том, как выполнять мониторинг сети в Linux с помощью утилиты ss рассмотрели. Если вам нужно больше информации и примеров смотрите документацию по утилитам набора iproute.