排查网络问题、监控服务状态,或者做容量规划时,一个绕不开的环节就是查看TCP连接的状态分布。哪些连接还活跃着,哪些正在挥手告别,哪些在排队等待,这些数字背后往往藏着性能瓶颈的线索。今天,我们就来聊聊,在Linux系统下,用什么命令来统计这些状态最稳、最快、也最准。
查 TCP 各状态连接数用什么命令最稳
答案其实很直接:ss -tn state all | awk '{print $NF}' | sort | uniq -c | sort -nr。这条命令组合,可以说是当前环境下的“黄金标准”。
它比老牌的 netstat 更快、更准,而且不依赖额外的网络工具包。命令的原理很清晰:state all 确保抓取所有可能的TCP状态,一个不漏;awk '{print $NF}' 精准提取每行的最后一列,也就是连接状态;最后经过排序和去重计数,sort -nr 会让像 ESTABLISHED、TIME_WAIT 这类高频状态自然排在最前面,一目了然。
这里有几个常见的坑需要注意。第一,别省略 state all。有些人图省事只写 ss -tn,但在某些内核版本下,默认输出可能只包含部分状态,导致统计不全。第二,尽量避免使用 netstat -an | awk '/^tcp/ {print $6}' | sort | uniq -c 这种传统方法。当连接数冲到万级甚至更高时,netstat 的解析过程会变得缓慢,CPU占用也明显提升,实时性大打折扣。
当然,如果身处一个极简环境(比如某些Alpine基础容器),连 ss 命令都没有,怎么办?还有终极后路——直接读取内核的 /proc/net/tcp 文件。可以试试这个命令:awk '$4 ~ /^0[1-9A-F]$/ {++s[$4]} END {for (k in s) print k, s[k]}' /proc/net/tcp。这里的 $4 列就是十六进制的状态码,比如 01 代表 ESTABLISHED,06 是 TIME_WAIT,0A 则是 LISTEN。没必要死记硬背,记不住的时候,man 7 tcp 或者搜一下“linux tcp state hex”,对照表马上就出来了。
统计 ESTABLISHED 连接数为什么不能只看 netstat -na | grep established
这个问题看似简单,却坑了不少人。原因主要有两个:大小写敏感和模糊匹配。
首先,grep established 默认区分大小写。而不同内核版本或网络工具的输出格式并不统一,状态字段可能是全大写的“ESTABLISHED”,也可能是全小写的“established”。只用一种写法去过滤,另一半数据就漏掉了。
其次,grep 是行级文本匹配。如果某行日志里包含了“established_time”这样的字段,或者输出有其他干扰列,它也会被一并抓取进来,导致统计数字虚高。
所以,正确的做法是进行精确锁定:
- 使用
ss的原生过滤语法:ss -tn state established | wc -l。这是最推荐的方式,state established由ss命令内部处理,不涉及文本匹配,既快又准。 - 如果非要用
netstat,那就用awk精确匹配列:netstat -tn | awk '$6 == "ESTABLISHED" {++n} END {print n+0}'。这里指定只统计第六列等于“ESTABLISHED”的行,完美避开了大小写和字段偏移的问题。
另外提个醒,千万别用 netstat -l 来查活跃连接,那个“-l”参数是列出监听端口,跟已经建立好的 ESTABLISHED 连接完全是两码事。
按端口或 IP 统计连接分布时 sport/dport 别写反
这是另一个高频出错点,关键在于分清“源端口”和“目标端口”的视角。
简单来说:sport (source port) 指的是连接发起方的端口,dport (destination port) 指的是连接接收方的端口。当你站在服务器的角度,想查看“有多少客户端连接到了我的80端口”,你应该关心的是 sport :80(因为对于服务器,客户端源端口是随机的,但目标端口是固定的80)。反过来,如果你想知道“我的服务器主动向外发起了多少到别人80端口的连接”,那才应该用 dport :80。
很多人搞反了,想查Web服务负载,却用了 ss -tn dport :80,结果统计了一堆本机作为客户端去访问其他网站80端口的数据,完全跑偏了。
几个实用的命令组合:
- 查本机80端口上的活跃连接数:
ss -tn state established sport :80 | wc -l - 查哪个远程IP连接本机80端口最频繁:
ss -tn state established sport :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -10 - 排除IPv6地址干扰:在上面的命令中加上
grep -v '\[.*\]'过滤掉IPv6即可。
注意,ss 输出中第五列格式是“IP:端口”,所以用 cut -d: -f1 来剥离端口号,只留下IP。如果服务器绑定了多个IP,想针对某个特定IP进行统计,可以使用 ss -tn dst 192.168.1.100:80 来限定目标地址。
高并发下统计不准或卡顿,优先换 ss + 减少管道层级
当系统承载数万甚至更多并发连接时,统计命令本身的性能就成了问题。经典的 netstat -an | grep ESTABLISHED | wc -l 可能会卡住好几秒,因为 netstat 需要遍历并解析所有套接字信息,开销巨大。相比之下,ss 直接从内核的套接字表读取结构化数据,效率通常能高出3到5倍。
要进一步提升统计效率,记住两个优化原则:
- 减少不必要的管道和命令。避免像
ss -tn | grep established | grep :80 | wc -l这样的多层grep套娃。直接用ss的原生过滤:ss -tn state established sport :80 | wc -l,一步到位。 - 合并文本处理步骤。不要用
awk '{print $5}' | awk -F: '{print $1}'这种连续切割,完全可以在一次awk中完成:awk '{split($5,a,":"); print a[1]}'。
对于需要实时监控的场景,也别再用 watch -n1 'netstat -an | grep ESTABLISHED | wc -l' 了,换成 watch -n1 'ss -tn state established | wc -l',系统压力会小很多。
最后,值得关注的状态不只是 ESTABLISHED。大量堆积的 TIME_WAIT 连接虽然不算活跃负载,但会占用文件描述符,可能影响新连接的建立。单独检查它用 ss -tn state time-wait | wc -l。如果数字过高,别光盯着统计命令,更要看看系统参数,比如 sysctl net.ipv4.tcp_tw_reuse 是否开启了复用,从根源上思考解决方案。
