Linux怎么查看网络服务监听端口

使用ss、netstat或lsof命令可查看Linux系统中监听端口的网络服务。ss -tuln和netstat -tuln用于列出TCP/UDP监听端口，ss性能更优；lsof -i -P -n | grep LISTEN可查进程详情。推荐优先使用ss，配合-p参数或lsof -i :端口号反查占用进程，结合ps命令进一步分析。若端口被占用，先确认占用进程身份，再决定重启、修改配置或终止进程，生产环境中应谨慎操作以避免影响其他服务。

在Linux系统里，想知道哪个网络服务正在监听哪个端口，其实不复杂，核心就是用几个命令去“问”系统。最常用也最直接的方法就是利用

netstat

ss

lsof

解决方案

要查看Linux系统上的网络服务监听端口，我通常会从以下几个命令入手，它们各有侧重，但都能解决问题：

首先是

ss

netstat

ss -tuln

这里

-t

-u

-l

-n

接着是

netstat

ss

netstat

netstat -tuln

这个命令的参数和

ss

-t

-u

-l

-n

netstat

net-tools

最后，

lsof

lsof -i -P -n | grep LISTEN

-i

-P

-n

grep LISTEN

这些命令基本上能覆盖我日常工作中查看端口监听状态的绝大部分需求。

netstat和ss有什么区别，我该用哪个？

这个问题其实挺有意思的，也是我在日常运维中经常思考的一个点。简单来说，

ss

netstat

技术背景差异：

netstat

/proc/net/

/proc/net/tcp

/proc/net/udp

netstat

而

ss

Netlink

Netlink

netstat

/proc

ss

输出内容和功能： 虽然两者的核心功能都是查看网络连接和端口状态，但

ss

netstat

我个人推荐： 在现代Linux系统（例如，大多数发行版最近几年的版本）上，我几乎总是推荐使用

ss

netstat

ss

netstat

ss

如何通过端口号反查对应的进程和程序？

这在排查端口冲突或者服务异常时是极其常见的需求。当我知道某个端口被监听，但不知道是哪个程序在用它，或者想确认是不是我预期的服务在用，就需要反查。我通常有两种主要方法：

方法一：使用

ss

netstat

grep

ps

首先，用

ss

netstat

PID/Program name

例如，我想查80端口：

ss -tulnp | grep ":80"

这里我加了

-P

ss

tcp    LISTEN     0      128       *:80                   *:*      users:(("nginx",pid=1234,fd=6))

从这个输出中，我能直接看到

pid=1234

nginx

如果

ss

讯飞听见

讯飞听见依托科大讯飞的语音识别技术，为用户提供语音转文字、录音转文字等服务，1小时音频最快5分钟出稿，高效安全。

105

查看详情

1. 先用

   ss -tuln

   登录后复制
   找到端口对应的本地地址。
2. 记下端口号。
3. 然后用

   ss -p

   登录后复制
   选项，针对该端口号进行查询：

   ss -tulnp | grep ":80"

   登录后复制

   如果能直接得到PID，那就用

   ps

   登录后复制
   命令查看进程详情：

   ps aux | grep 1234

   登录后复制

   替换

   1234

   登录后复制
   为实际的PID。

   ps aux

   登录后复制
   会显示所有用户的进程，包括它们的CPU、内存占用、启动命令等。

netstat

-P

netstat -tulnp | grep ":80"

输出通常是

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      1234/nginx

1234

nginx

方法二：使用

lsof

lsof

lsof -i :80

这个命令会直接列出所有打开了80端口的进程。输出会包含

COMMAND

PID

USER

FD

TYPE

DEVICE

SIZE/OFF

NODE

NAME

nginx   1234 root    6u  IPv4 123456      0t0  TCP *:http (LISTEN)

COMMAND

nginx

PID

1234

我个人更倾向于使用

lsof -i :端口号

grep

ps

lsof

ss -p

netstat -p

端口被占用怎么办？常见的排查思路是什么？

端口被占用是运维工作中很常见的问题，尤其是在部署新服务或者重启旧服务时。遇到这种情况，我的排查思路通常是这样：

第一步：确认哪个进程占用了端口 这是最关键的第一步。我通常会用前面提到的命令来确定“罪魁祸首”。

lsof -i :目标端口号
# 或者
ss -tulnp | grep ":目标端口号"

例如，如果我发现80端口被占用了：

lsof -i :80

输出会告诉我进程的PID和名称。

第二步：分析占用进程的身份和目的 一旦知道了是哪个进程占用了端口，下一步就是思考：

• 这是我预期的服务吗？ 比如，我打算启动Nginx，但发现Nginx进程已经跑起来了，那可能是我忘记关闭了，或者它之前崩溃后自动重启了。
• 这是一个不相关的服务吗？ 比如，我打算启动一个Java应用在8080端口，却发现是另一个Python脚本占用了。这可能意味着配置冲突或者其他服务无意中占用了。
• 这是一个“僵尸”进程或异常进程吗？ 有时候服务崩溃了，但它的套接字资源没有完全释放，或者是一个旧的进程实例没有完全退出。

第三步：决定如何处理

根据第二步的分析，处理方式有所不同：

1. 如果是我预期的服务：

   • 服务已经正常运行： 那么我就不需要再启动了。如果需要更新或重启，我会先优雅地停止它（例如

     systemctl stop nginx

     登录后复制
     ），然后再启动新的实例。
   • 服务运行异常： 如果服务虽然运行着，但状态不对，我会尝试重启它。例如

     systemctl restart 服务名

     登录后复制
     。

2. 如果是不相关的服务或配置冲突：

   • 修改我的服务配置： 最常见的做法是修改我自己的服务配置，让它监听一个不同的、未被占用的端口。这是最安全且侵入性最小的方法。
   • 停止或修改占用服务的配置： 如果我确定那个占用端口的服务不应该在那里，或者我可以控制它，那么我会考虑停止它（

     systemctl stop 占用服务的名称

     登录后复制
     ）或者修改它的配置，让它监听其他端口。但要非常小心，确保不会影响到其他重要的功能。

3. 如果是僵尸进程或异常进程：

   • 强制终止进程： 如果进程看起来不正常，或者无法通过正常方式停止，我可能会考虑使用

     kill

     登录后复制
     命令强制终止它。

     kill -9 进程PID

     登录后复制

     kill -9

     登录后复制
     是一个强杀信号，它不会给进程任何清理的机会，所以通常是最后手段。在使用前，务必确认这个进程确实可以被终止，且不会导致数据丢失或其他严重后果。

   • 检查系统日志： 在强制终止进程后，我会检查系统日志（例如

     /var/log/syslog

     登录后复制
     或

     journalctl -xe

     登录后复制
     ），看看是否有关于该进程异常退出的信息，这有助于我理解为什么它会占用端口不放。

一个经验之谈： 在生产环境中，我通常会倾向于修改我自己的服务端口，而不是去动一个不确定的、可能由其他团队维护的服务。除非我百分之百确定那个占用端口的服务是我的，并且可以安全地停止或修改它。保持谨慎，总是没错的。

以上就是Linux怎么查看网络服务监听端口的详细内容，更多请关注php中文网其它相关文章！