在讨论这个问题前，我们先来了解一下物理端口、逻辑端口、端口号等计算机概念。

 

端口相关的概念：

 

在网络技术中，端口（Port）包括逻辑端口和物理端口两种类型。物理端口指的是物理存在的端口，如ADSL Modem、集线器、交换机、路由器上用 于连接其他网络设备的接口，如RJ-45端口、SC端口等等。逻辑端口是指逻辑意义上用于区分服务的端口，如TCP/IP协议中的服务端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等。由于物理端口和逻辑端口数量较多，为了对端口进行区分，将每个端口进行了编号，这就是端口号

端口按端口号可以分为3大类：

 

1：公认端口（Well Known Port）

公认端口号从0到1023，它们紧密绑定与一些常见服务，例如FTP服务使用端口21，你在 /etc/services 里面可以看到这种映射关系。

 

2：注册端口（Registered Ports):

从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的.

 

3: 动态或私有端口（Dynamic and/or Private Ports）

动态端口，即私人端口号（private port numbers），是可用于任意软件与任何其他的软件通信的端口数，使用因特网的传输控制协议，或用户传输协议。动态端口一般从49152到65535

Linux中有限定端口的使用范围，如果我要为我的程序预留某些端口，那么我需要控制这个端口范围。/proc/sys/net/ipv4/ip_local_port_range定义了本地TCP/UDP的端口范围，你可以在/etc/sysctl.conf里面定义net.ipv4.ip_local_port_range = 1024 65000

[root@localhost ~]# cat /proc/sys/net/ipv4/ip_local_port_range

32768   61000

[root@localhost ~]#  echo 1024 65535 > /proc/sys/net/ipv4/ip_local_port_range

 

关于端口和服务，我曾经拿公共厕所打比方，公共厕所里的每一个厕所就好比系统的每一个端口，为人解决方便就是所谓的服务，你提供了这些服务，那么就必须开放端口（厕所），当有人上厕所时，就是在这些端口建立了链接。如果那个厕所被人占用了，就表示端口号被服务占用了，如果有一天这里不提供公共厕所服务了，这个公共厕所被拆除了，自然也就没有了端口号了。其实更形象的例子，就好比银行大堂，端口号是那些柜台，而那些取号办理业务的人就好比链接到服务器的各种客户端。他们通过端口重定向技术与柜台发送业务联系。再举一个通俗易懂的例子，端口号，好比高铁线上的每个站点，例如，长沙、岳阳等分别代表一个端口号，旅客通过火车票到各自的站点，就好比各个应用程序发往服务器端口的IP包。

 

端口与服务的关系

 

    端口有什么用呢？我们知道，一台拥有IP地址的主机可以提供许多服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来实现。那么，主机是怎样区分不同的网络服务呢？显然不能只靠IP地址，因为IP 地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。

端口号与相应服务的对应关系存放在/etc/services文件中，这个文件中可以找到大部分端口。

如何检查端口是否开放，其实不整理，还不知道有这么多方法！

 

1：nmap工具检测开放端口

nmap是一款网络扫描和主机检测的工具。nmap的安装非常简单，如下所示rpm安装所示。

[root@DB-Server Server]# rpm -ivh nmap-4.11-1.1.x86_64.rpm

warning: nmap-4.11-1.1.x86_64.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing...                ########################################### [100%]

   1:nmap                   ########################################### [100%]

[root@DB-Server Server]# rpm -ivh nmap-frontend-4.11-1.1.x86_64.rpm

warning: nmap-frontend-4.11-1.1.x86_64.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing...                ########################################### [100%]

   1:nmap-frontend          ########################################### [100%]

[root@DB-Server Server]#

关于nmap的使用，都可以长篇大写特写，这里不做展开。如下所示，nmap 127.0.0.1 查看本机开放的端口，会扫描所有端口。 当然也可以扫描其它服务器端口。

[root@DB-Server Server]# nmap 127.0.0.1

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2016-06-22 15:46 CST

Interesting ports on localhost.localdomain (127.0.0.1):

Not shown: 1674 closed ports

PORT     STATE SERVICE

22/tcp   open  ssh

25/tcp   open  smtp

111/tcp  open  rpcbind

631/tcp  open  ipp

1011/tcp open  unknown

3306/tcp open  mysql

Nmap finished: 1 IP address (1 host up) scanned in 0.089 seconds

You have new mail in /var/spool/mail/root

[root@DB-Server Server]#

 

2：netstat 工具检测开放端口

[root@DB-Server Server]# netstat -anlp | grep 3306

tcp        0      0 :::3306                     :::*                        LISTEN      7358/mysqld

[root@DB-Server Server]# netstat -anlp | grep 22

tcp        0      0 :::22                       :::*                        LISTEN      4020/sshd

tcp        0     52 ::ffff:192.168.42.128:22    ::ffff:192.168.42.1:43561   ESTABLISHED 6198/2

[root@DB-Server Server]#

如上所示，这个工具感觉没有nmap简洁明了。当然也确实没有nmap功能强大。

 

3：lsof 工具检测开放端口

[root@DB-Server Server]# service mysql start

Starting MySQL......[  OK  ]

[root@DB-Server Server]# lsof -i:3306

COMMAND  PID  USER   FD   TYPE DEVICE SIZE NODE NAME

mysqld  7860 mysql   15u  IPv6  44714       TCP *:mysql (LISTEN)

[root@DB-Server Server]# service mysql stop

Shutting down MySQL..[  OK  ]

[root@DB-Server Server]# lsof -i:3306

[root@DB-Server Server]#

 

[root@DB-Server Server]# lsof -i TCP| fgrep LISTEN

cupsd     3153    root    4u  IPv4   9115       TCP localhost.localdomain:ipp (LISTEN)

portmap   3761     rpc    4u  IPv4  10284       TCP *:sunrpc (LISTEN)

rpc.statd 3797 rpcuser    7u  IPv4  10489       TCP *:1011 (LISTEN)

sshd      4020    root    3u  IPv6  12791       TCP *:ssh (LISTEN)

sendmail  4042    root    4u  IPv4  12876       TCP localhost.localdomain:smtp (LISTEN)

 

4： 使用telnet检测端口是否开放

   服务器端口即使处于监听状态，但是防火墙iptables屏蔽了该端口，是无法通过该方法检测端口是否开放的。

 

5：netcat工具检测端口是否开放。

[root@DB-Server ~]# nc -vv 192.168.42.128 1521

Connection to 192.168.42.128 1521 port [tcp/ncube-lm] succeeded!

[root@DB-Server ~]# nc -z 192.168.42.128 1521; echo $?

Connection to 192.168.42.128 1521 port [tcp/ncube-lm] succeeded!

0

[root@DB-Server ~]#  nc -vv 192.168.42.128 1433

nc: connect to 192.168.42.128 port 1433 (tcp) failed: No route to host

 

关闭端口和开放端口

   

    关闭端口和开放端口应该是两种不同的概念，每个端口都有对应的服务，因此要关闭端口，只要关闭相应的服务就可以了。像下面例子，开启了MySQL服务，端口3306处于监听状态，关闭MySQL服务后，端口3306自然被关闭了

[root@DB-Server Server]# service mysql start

Starting MySQL......[  OK  ]

[root@DB-Server Server]# lsof -i:3306

COMMAND  PID  USER   FD   TYPE DEVICE SIZE NODE NAME

mysqld  7860 mysql   15u  IPv6  44714       TCP *:mysql (LISTEN)

[root@DB-Server Server]# service mysql stop

Shutting down MySQL..[  OK  ]

[root@DB-Server Server]# lsof -i:3306

[root@DB-Server Server]#

   

所以，系统里面有些不必要的端口和服务，从安全考虑或资源节省角度，都应该关闭那些不必要的服务。关闭对应的端口。另外，即使服务开启，但是防火墙对对应的端口进行了限制，这样端口也不能被访问，但端口本身并没有关闭，只是端口被屏蔽了。

lsof简介
lsof（list open files）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。
lsof使用
 
lsof输出信息含义
在终端下输入lsof即可显示系统打开的文件，因为 lsof 需要访问核心内存和各种文件，所以必须以 root 用户的身份运行它才能够充分地发挥其功能。
COMMAND    PID      USER   FD      TYPE     DEVICE     SIZE       NODE      NAME
init       1         root  cwd      DIR       3,3       1024       2         /
init       1         root  rtd      DIR       3,3       1024       2         /
init       1         root  txt      REG       3,3       38432      1763452  /sbin/init
init       1         root  mem      REG       3,3       106114     1091620  /lib/libdl-2.6.so
init       1         root  mem      REG       3,3       7560696    1091614  /lib/libc-2.6.so
init       1         root  mem      REG       3,3       79460      1091669  /lib/libselinux.so.1
init       1         root  mem      REG       3,3       223280     1091668  /lib/libsepol.so.1
init       1         root  mem      REG       3,3       564136     1091607  /lib/ld-2.6.so
init       1         root  10u      FIFO      0,15                  1309     /dev/initctl
每行显示一个打开的文件，若不指定条件默认将显示所有进程打开的所有文件。lsof输出各列信息的意义如下：
COMMAND：进程的名称
PID：进程标识符
USER：进程所有者
FD：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等
TYPE：文件类型，如DIR、REG等
DEVICE：指定磁盘的名称
SIZE：文件的大小
NODE：索引节点（文件在磁盘上的标识）
NAME：打开文件的确切名称
其中FD 列中的文件描述符cwd 值表示应用程序的当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改。
txt 类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的 /sbin/init 程序。其次数值表示应用
程序的文件描述符，这是打开该文件时返回的一个整数。如上的最后一行文件/dev/initctl，其文件描述符为 10。u 表示该
文件被打开并处于读取/写入模式，而不是只读 ® 或只写 (w) 模式。同时还有大写 的W 表示该应用程序具有对整个文件的写
锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时，都具有三个文件描述符，从 0 到 2，
分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件的 FD 都是从 3 开始。
与 FD 列相比，Type 列则比较直观。文件和目录分别称为 REG 和 DIR。而CHR 和 BLK，分别表示字符和块设备；
或者 UNIX、FIFO 和 IPv4，分别表示 UNIX 域套接字、先进先出 (FIFO) 队列和网际协议 (IP) 套接字。
lsof常用参数
lsof 常见的用法是查找应用程序打开的文件的名称和数目。可用于查找出某个特定应用程序将日志数据记录到何处，或者正在跟踪某个问题。
例如，linux限制了进程能够打开文件的数目。通常这个数值很大，所以不会产生问题，并且在需要时，应用程序可以请求更大的值（直到某
个上限）。如果你怀疑应用程序耗尽了文件描述符，那么可以使用 lsof 统计打开的文件数目，以进行验证。lsof语法格式是：
lsof ［options］ filename
常用的参数列表：
lsof  filename 显示打开指定文件的所有进程
lsof -a 表示两个参数都必须满足时才显示结果
lsof -c string   显示COMMAND列中包含指定字符的进程所有打开的文件
lsof -u username  显示所属user进程打开的文件
lsof -g gid 显示归属gid的进程情况
lsof +d /DIR/ 显示目录下被进程打开的文件
lsof +D /DIR/ 同上，但是会搜索目录下的所有目录，时间相对较长
lsof -d FD 显示指定文件描述符的进程
lsof -n 不将IP转换为hostname，缺省是不加上-n参数
lsof -i 用以显示符合条件的进程情况
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
            46 --> IPv4 or IPv6
            protocol --> TCP or UDP
            hostname --> Internet host name
            hostaddr --> IPv4地址
            service --> /etc/service中的 service name (可以不只一个)
            port --> 端口号 (可以不只一个)
例如： 查看22端口现在运行的情况
# lsof -i :22
COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
sshd    1409 root    3u  IPv6   5678       TCP *:ssh (LISTEN)
查看所属root用户进程所打开的文件类型为txt的文件:
# lsof -a -u root -d txt
COMMAND    PID USER  FD      TYPE DEVICE    SIZE    NODE NAME
init       1    root txt       REG    3,3   38432 1763452 /sbin/init
mingetty  1632 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1633 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1634 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1635 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1636 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1637 root txt       REG    3,3   14366 1763337 /sbin/mingetty
kdm        1638 root txt       REG    3,3  132548 1428194 /usr/bin/kdm
X          1670 root txt       REG    3,3 1716396 1428336 /usr/bin/Xorg
kdm        1671 root txt       REG    3,3  132548 1428194 /usr/bin/kdm
startkde  2427 root txt       REG    3,3  645408 1544195 /bin/bash
... ...
lsof使用实例
 
一、查找谁在使用文件系统
在卸载文件系统时，如果该文件系统中有任何打开的文件，操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统，如下：
# lsof  /GTES11/
COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
bash    4208 root  cwd    DIR    3,1 4096    2 /GTES11/
vim     4230 root  cwd    DIR    3,1 4096    2 /GTES11/
在这个示例中，用户root正在其/GTES11目录中进行一些操作。一个 bash是实例正在运行，并且它当前的目录为/GTES11，另一个则显示的是vim正在编辑/GTES11下的文件。要成功地卸载/GTES11，应该在通知用户以确保情况正常之后，中止这些进程。 这个示例说明了应用程序的当前工作目录非常重要，因为它仍保持着文件资源，并且可以防止文件系统被卸载。这就是为什么大部分守护进程（后台进程）将它们的目录更改为根目录、或服务特定的目录（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免该守护进程阻止卸载不相关的文件系统。
二、恢复删除的文件
当Linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。
当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。
在/proc 目录下，其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域，所以这些文件和目录并不存在于磁盘中，因此当我们对这些文件进行读取和写入时，实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中，即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof 可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。
  
当系统中的某个文件被意外地删除了，只要这个时候系统中还有进程正在访问该文件，那么我们就可以通过lsof从/proc目录下恢复该文件的内容。 假如由于误操作将/var/log/messages文件删除掉了，那么这时要将/var/log/messages文件恢复的方法如下：
首先使用lsof来查看当前是否有进程打开/var/logmessages文件，如下：
# lsof |grep /var/log/messages
syslogd   1283      root    2w      REG        3,3  5381017    1773647 /var/log/messages (deleted)
从上面的信息可以看到 PID 1283（syslogd）打开文件的文件描述符为 2。同时还可以看到/var/log/messages已经标记被删除了。因此我们可以在 /proc/1283/fd/2 （fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下：
# head -n 10 /proc/1283/fd/2
Aug  4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug  4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug  4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug  4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)
从上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据，那么就可以使用 I/O 重定向将其复制到文件中，如:
cat /proc/1283/fd/2 > /var/log/messages
对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。

看到的一个很全的说明

http://www.tecmint.com/manage-services-using-systemd-and-systemctl-in-linux/

中文版在

https://linux.cn/article-5926-1.html

http://blog.csdn.net/linuxnews/article/details/51736537

1、查询进程的ID号

[root@localhost ~]# ps -aux | grep MySQL

2、进入目录 /proc下以PID进程号命名的目录，这里是 /proc/48889

cd /proc

cd 48889

ls -ail

简介

Netstat 命令用于显示各种网络相关信息，如网络连接，路由表，接口状态 (Interface Statistics)，masquerade 连接，多播成员 (Multicast Memberships) 等等。

输出信息含义

执行netstat后，其输出结果为

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 2 210.34.6.89:telnet 210.34.6.96:2873 ESTABLISHED
tcp 296 0 210.34.6.89:1165 210.34.6.84:netbios-ssn ESTABLISHED
tcp 0 0 localhost.localdom:9001 localhost.localdom:1162 ESTABLISHED
tcp 0 0 localhost.localdom:1162 localhost.localdom:9001 ESTABLISHED
tcp 0 80 210.34.6.89:1161 210.34.6.10:netbios-ssn CLOSE

Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 1 [ ] STREAM CONNECTED 16178 @000000dd
unix 1 [ ] STREAM CONNECTED 16176 @000000dc
unix 9 [ ] DGRAM 5292 /dev/log
unix 1 [ ] STREAM CONNECTED 16182 @000000df

从整体上看，netstat的输出结果可以分为两个部分：

一个是Active Internet connections，称为有源TCP连接，其中"Recv-Q"和"Send-Q"指%0A的是接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。

另一个是Active UNIX domain sockets，称为有源Unix域套接口(和网络套接字一样，但是只能用于本机通信，性能可以提高一倍)。
Proto显示连接使用的协议,RefCnt表示连接到本套接口上的进程号,Types显示套接口的类型,State显示套接口当前的状态,Path表示连接到套接口的其它进程使用的路径名。

常见参数

-a (all)显示所有选项，默认不显示LISTEN相关
-t (tcp)仅显示tcp相关选项
-u (udp)仅显示udp相关选项
-n 拒绝显示别名，能显示数字的全部转化成数字。
-l 仅列出有在 Listen (监听) 的服務状态

-p 显示建立相关链接的程序名
-r 显示路由信息，路由表
-e 显示扩展信息，例如uid等
-s 按各个协议进行统计
-c 每隔一个固定时间，执行该netstat命令。

提示：LISTEN和LISTENING的状态只有用-a或者-l才能看到

 

实用命令实例

 

1. 列出所有端口 (包括监听和未监听的)

  列出所有端口 netstat -a

# netstat -a | more
 Active Internet connections (servers and established)
 Proto Recv-Q Send-Q Local Address           Foreign Address         State
 tcp               localhost:         *:*                     LISTEN
 udp               *:bootpc                *:*
 
Active UNIX domain sockets (servers and established)
 Proto RefCnt Flags       Type       State         I-Node   Path
 unix        [ ACC ]     STREAM     LISTENING          /tmp/.X11-unix/X0
 unix        [ ACC ]     STREAM     LISTENING          //run/acpid.socket

  列出所有 tcp 端口 netstat -at

# netstat -at
 Active Internet connections (servers and established)
 Proto Recv-Q Send-Q Local Address           Foreign Address         State
 tcp               localhost:         *:*                     LISTEN
 tcp               localhost:ipp           *:*                     LISTEN
 tcp               *:smtp                  *:*                     LISTEN
 tcp6              localhost:ipp           [::]:*                  LISTEN

  列出所有 udp 端口 netstat -au

# netstat -au
 Active Internet connections (servers and established)
 Proto Recv-Q Send-Q Local Address           Foreign Address         State
 udp               *:bootpc                *:*
 udp               *:                 *:*
 udp               *:mdns                  *:*

 

2. 列出所有处于监听状态的 Sockets

  只显示监听端口 netstat -l

# netstat -l
 Active Internet connections (only servers)
 Proto Recv-Q Send-Q Local Address           Foreign Address         State
 tcp               localhost:ipp           *:*                     LISTEN
 tcp6              localhost:ipp           [::]:*                  LISTEN
 udp               *:                 *:*

  只列出所有监听 tcp 端口 netstat -lt

# netstat -lt
 Active Internet connections (only servers)
 Proto Recv-Q Send-Q Local Address           Foreign Address         State
 tcp               localhost:         *:*                     LISTEN
 tcp               *:smtp                  *:*                     LISTEN
 tcp6              localhost:ipp           [::]:*                  LISTEN

  只列出所有监听 udp 端口 netstat -lu

# netstat -lu
 Active Internet connections (only servers)
 Proto Recv-Q Send-Q Local Address           Foreign Address         State
 udp               *:                 *:*
 udp               *:mdns                  *:*

  只列出所有监听 UNIX 端口 netstat -lx

# netstat -lx
 Active UNIX domain sockets (only servers)
 Proto RefCnt Flags       Type       State         I-Node   Path
 unix        [ ACC ]     STREAM     LISTENING          /maildrop
 unix        [ ACC ]     STREAM     LISTENING          /cleanup
 unix        [ ACC ]     STREAM     LISTENING          /ifmail
 unix        [ ACC ]     STREAM     LISTENING          /bsmtp

3. 显示每个协议的统计信息

  显示所有端口的统计信息 netstat -s

# netstat -s
 Ip:
  total packets received
  with invalid addresses
  forwarded
  incoming packets discarded
  incoming packets delivered
  requests sent 
 Icmp:
  ICMP messages received
  input ICMP message failed.
 Tcp:
  active connections openings
  failed connection attempts
  connection resets received
 Udp:
  packets received
  packets to unknown port received.
 .....

  显示 TCP 或 UDP 端口的统计信息 netstat -st 或 -su

# netstat -st 
# netstat -su

 

4. 在 netstat 输出中显示 PID 和进程名称 netstat -p

netstat -p 可以与其它开关一起使用，就可以添加 “PID/进程名称” 到 netstat 输出中，这样 debugging 的时候可以很方便的发现特定端口运行的程序。

# netstat -pt
 Active Internet connections (w/o servers)
 Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
 tcp               ramesh-laptop.loc: .:www        CLOSE_WAIT  /firefox
 tcp               ramesh-laptop.loc: lax:www ESTABLISHED /firefox

5. 在 netstat 输出中不显示主机，端口和用户名 (host, port or user)

当你不想让主机，端口和用户名显示，使用 netstat -n。将会使用数字代替那些名称。

同样可以加速输出，因为不用进行比对查询。

# netstat -an

如果只是不想让这三个名称中的一个被显示，使用以下命令

# netsat -a --numeric-ports
# netsat -a --numeric-hosts
# netsat -a --numeric-users

 

6. 持续输出 netstat 信息

netstat 将每隔一秒输出网络信息。

# netstat -c
 Active Internet connections (w/o servers)
 Proto Recv-Q Send-Q Local Address           Foreign Address         State
 tcp               ramesh-laptop.loc: ---.ama:www ESTABLISHED
 tcp               ramesh-laptop.loc: .:www      CLOSING
 tcp               ramesh-laptop.loc: server----:www ESTABLISHED
 tcp               ramesh-laptop.loc: .:www      CLOSING
 ^C

 

7. 显示系统不支持的地址族 (Address Families)

netstat --verbose

在输出的末尾，会有如下的信息

netstat: no support  `AF IPXnetstat: no support  `AF AX25netstat: no support  `AF X25netstat: no support  `AF NETROM

 

8. 显示核心路由信息 netstat -r

# netstat -r
 Kernel IP routing table
 Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
 .     *               .   U                     eth2
 link-local      *               .     U                     eth2
          .     .         UG                    eth2

注意： 使用 netstat -rn 显示数字格式，不查询主机名称。

 

9. 找出程序运行的端口

并不是所有的进程都能找到，没有权限的会不显示，使用 root 权限查看所有的信息。

# netstat -ap | grep ssh
 tcp               dev-db:ssh           .:        CLOSE_WAIT  -
 tcp               dev-db:ssh           .:        CLOSE_WAIT  -

  找出运行在指定端口的进程

# netstat -an | grep ':80'

 

10. 显示网络接口列表

# netstat -i
 Kernel Interface table
 Iface   MTU Met   RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
 eth0                                                              BMU
 eth2                                                      BMRU
 lo                                                               LRU

显示详细信息，像是 ifconfig 使用 netstat -ie:

# netstat -ie
 Kernel Interface table
 eth0      Link encap:Ethernet  HWaddr :::::
 UP BROADCAST MULTICAST  MTU:  Metric:
 RX packets: errors: dropped: overruns: frame:
 TX packets: errors: dropped: overruns: carrier:
 collisions: txqueuelen:
 RX bytes: ( B)  TX bytes: ( B)
 Memory:f6ae0000-f6b00000

11. IP和TCP分析

  查看连接某服务端口最多的的IP地址

wss8848@ubuntu:~$ netstat -nat | grep  |awk |awk -F: |sort|uniq -c|sort -nr|head -

  TCP各种状态列表

wss8848@ubuntu:~$ netstat -nat |awk 
established)
Foreign
LISTEN
TIME_WAIT
ESTABLISHED
TIME_WAIT
SYN_SENT

  先把状态全都取出来,然后使用uniq -c统计，之后再进行排序。

wss8848@ubuntu:~$ netstat -nat |awk |sort|uniq -c
 ESTABLISHED
 FIN_WAIT1
 Foreign
 LAST_ACK
 LISTEN
 SYN_SENT
 TIME_WAIT
 established)

  最后的命令如下:

netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn

分析access.log获得访问前10位的ip地址

awk '{print $1}' access.log |sort|uniq -c|sort -nr|head -10

参考资料:http://blog.maxiang.net/10-netstat-command-examples/139/

            http://www.ipcpu.com/2011/07/netstat-linux/

http://www.cnblogs.com/ggjucheng/archive/2012/01/08/2316661.html

cut：以某种方式按照文件的行进行分割

参数列表：
 -b 按字节选取 忽略多字节字符边界，除非也指定了 -n 标志
 -c    按字符选取
 -d 自定义分隔符，默认为制表符。
 -f 与-d一起使用，指定显示哪个区域。
                            that contains no delimiter character, unless
                            the -s option is specified
      --complement              补全选中的字节、字符或域
 -s, --only-delimited          不打印没有包含分界符的行
      --output-delimiter=字符串 使用指定的字符串作为输出分界符，默认采用输入
                                的分界符
范围控制：
    n:只有第n项
    n-:从第n项一直到行尾
    n-m:从第n项到第m项(包括m)
    -m:从一行的开始到第m项(包括m)
    -:从一行的开始到结束的所有项

cat /etc/passwd | cut -b1-3　#取每行的第1-3字字节

cat /etc/passwd | cut -b1-3,5-7,8　#取每行的第1-3,5-7,8的字节(后面的数字会先进行从小到大的排列) 需要事先知道具体字节，很容易出错

cat song.txt |cut -nb 1,2,3#当 -b 添加 -n 后则不会分割多字节 (我的系统是utf-8，所以需要用三个字节来表示一个汉字)

cat /etc/passwd | cut -c1,3 #适用于中文 

cat /etc/passwd | cut -d : -f 3 #以:分割，取第三段
cat /etc/passwd | cut -d '' #以空格进行分割，且是一个空格

缺点： 有的时候分隔符很难确定

cron服务是Linux的内置服务，但它不会开机自动启动。可以用以下命令启动和停止服务：

/sbin/service crond start
/sbin/service crond stop
/sbin/service crond restart
/sbin/service crond reload

以上1-4行分别为启动、停止、重启服务和重新加载配置。

要把cron设为在开机的时候自动启动，在 /etc/rc.d/rc.local 脚本中加入 /sbin/service crond start 即可

查看当前用户的crontab，输入 crontab -l；

编辑crontab，输入 crontab -e；

删除crontab，输入 crontab -r

iptraf是一个基于ncurses的IP局域网监控器，用来生成包括TCP信息、UDP计数、ICMP和OSPF信息、以太网负载信息、节点状态信息、IP校验和错误等等统计数据。

它基于ncurses的用户界面可以使用户免于记忆繁琐的命令行开关。

特征

• IP流量监控器，用来显示你的网络中的IP流量变化信息。包括TCP标识信息、包以及字节计数，ICMP细节，OSPF包类型。

• 简单的和详细的接口统计数据，包括IP、TCP、UDP、ICMP、非IP以及其他的IP包计数、IP校验和错误，接口活动、包大小计数。

• TCP和UDP服务监控器，能够显示常见的TCP和UDP应用端口上发送的和接收的包的数量。

• 局域网数据统计模块，能够发现在线的主机，并显示其上的数据活动统计信息。

• TCP、UDP、及其他协议的显示过滤器，允许你只查看感兴趣的流量。

• 日志功能。

• 支持以太网、FDDI、ISDN、SLIP、PPP以及本地回环接口类型。

• 利用Linux内核内置的原始套接字接口，允许它（指iptraf）能够用于各种支持的网卡上

• 全屏，菜单式驱动的操作。

安装方法

Ubuntu以及其衍生版本

sudo apt-get install iptraf

Arch Linux以及其衍生版本

sudo pacman -S iptra

Fedora以及其衍生版本

sudo yum install iptraf

用法

如果不加任何命令行选项地运行iptraf命令，程序将进入一种交互模式，通过主菜单可以访问多种功能。

简易的上手导航菜单。

选择要监控的接口。

接口ppp0处的流量。

http://os.51cto.com/art/201505/476216.htm

今天在测试的时候安装了apache但是外部访问不到

我关闭了防火墙外部就可以访问到了

CentOS 7.0默认使用的是firewall作为防火墙

我在这里改为iptables防火墙

1、关闭firewall：

systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #禁止firewall开机启动

2、安装iptables防火墙

yum install iptables-services #安装
vi /etc/sysconfig/iptables #编辑防火墙配置文件

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INP

UT -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT

-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT

-A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT

-A INPUT -j REJECT –reject-with icmp-host-prohibited

-A FORWARD -j REJECT –reject-with icmp-host-prohibited

COMMIT

:wq! #保存退出

systemctl restart iptables.service #最后重启防火墙使配置生效
systemctl enable iptables.service #设置防火墙开机启动

查看了多个资料，并没有在 /etc/init.d/ 这个目录下发现 atd 文件，所以命令

[root@localhost ~]# /etc/init.d/atd status11

 /etc/init.d/atd start 11

并不起作用。 
使用命令：

[root@localhost ~]# systemctl start atd11

[root@localhost ~]# ps -ef |grep atdroot      4717     1  0 14:36 ?        00:00:00 /usr/sbin/atd -f
root      4733  4429  0 14:36 pts/1    00:00:00 grep --color=auto atd123123

这样就可以看到atd的进程了，然后重新启动任务

[root@tev137 ~]# at 14:40at> date > /root/datetest.logat> <EOT>
job 6 at Wed Feb  8 14:40:00 201712341234

搞定！