如何在Linux中分析TCP连接状态？

答案：分析TCP连接状态首选ss命令，其性能优于netstat，结合lsof、/proc/net/tcp、tcpdump等工具可精准定位端口占用与异常连接。常见状态中，LISTEN表示端口监听，ESTABLISHED为已建立连接，TIME-WAIT和CLOSE-WAIT分别反映连接关闭过程中的主动与被动行为，大量SYN-RECV或CLOSE-WAIT通常指示攻击或应用层资源泄漏。通过ss -tulnpa查看全量连接，用lsof -i :端口号定位进程，配合watch实时监控、tcpdump抓包分析可深入排查问题。进阶技巧包括解析/proc/net/tcp获取原始信息，使用conntrack查看NAT连接跟踪，以及用awk等工具脚本化统计连接状态分布。

在Linux系统里，想搞清楚TCP连接到底在干嘛，其实主要就是靠几个核心工具，比如

netstat

ss

lsof

/proc

解决方案

要分析TCP连接状态，最常用且直接的办法就是利用

ss

netstat

ss

netstat

netstat

你可以这样用

ss

ss -tulnpa

• -t

  登录后复制
  : 显示TCP连接。

• -u

  登录后复制
  : 显示UDP连接（虽然我们主要关注TCP，但有时候一起看也方便）。

• -l

  登录后复制
  : 只显示监听（Listening）状态的套接字。

• -n

  登录后复制
  : 不解析服务名和主机名，直接显示数字形式的端口和IP地址，这能加快输出速度，在排查问题时也更清晰。

• -p

  登录后复制
  : 显示拥有该套接字的进程名和PID。

• -a

  登录后复制
  : 显示所有套接字（包括监听和非监听的）。

如果你只想看TCP的非监听连接，也就是那些正在进行数据传输或者处于关闭过程中的连接，可以这样：

ss -tna

输出通常会包含本地地址、对端地址、以及连接的

State

ESTAB

LISTEN

TIME-WAIT

CLOSE-WAIT

netstat

netstat -tulnpa

参数的含义基本一致。在一些老旧系统或者习惯上，

netstat

ss

TCP连接的常见状态有哪些，它们各自代表什么含义？

说实话，TCP连接的状态机是个挺复杂但又非常重要的概念。理解这些状态，就好比理解一个人的生老病死，能帮我们判断网络问题出在哪一步。

• LISTEN (监听)：这个状态表示服务器端的某个端口正在等待客户端的连接请求。它就像一个开门迎客的店铺，随时准备接待。如果你发现你的服务没启动或者端口被占用，但这里没有LISTEN，那肯定有问题。
• SYN-SENT (同步已发送)：这是客户端发起的第一个状态。它发送了一个SYN（同步）包给服务器，请求建立连接，现在正焦急地等待服务器的SYN+ACK（同步+确认）响应。如果长时间停留在SYN-SENT，可能是网络不通，或者服务器没响应。
• SYN-RECV (同步已接收)：服务器端收到客户端的SYN包后，会回复一个SYN+ACK包，然后进入这个状态，等待客户端的最终ACK（确认）包。如果服务器端大量连接处于SYN-RECV，可能遭遇了SYN Flood攻击，或者客户端发送ACK失败。
• ESTABLISHED (已建立)：这是最理想的状态，表示TCP三次握手已经完成，客户端和服务器之间可以正常地进行数据传输了。大部分时间，我们希望看到连接都处于这个状态。
• FIN-WAIT-1 (终止等待1)：主动关闭方（通常是客户端，也可以是服务器）发送了FIN（结束）包，请求关闭连接，现在等待对方的ACK。
• FIN-WAIT-2 (终止等待2)：主动关闭方收到了对方对FIN包的ACK，现在等待对方也发送FIN包来关闭连接。
• TIME-WAIT (时间等待)：这是主动关闭方在收到对方的FIN包并发送ACK后进入的状态。它会持续一段“2MSL（Maximum Segment Lifetime，最大报文段生存时间）”的时间。这个状态的存在是为了确保最后一个ACK包能到达对方，并让网络中可能存在的旧数据包自然消亡，避免与新连接混淆。我个人觉得，虽然TIME-WAIT会占用端口资源，但它对TCP的健壮性至关重要。如果你的服务器TIME-WAIT过多导致端口耗尽，那可能需要考虑优化应用关闭连接的方式，或者调整内核参数，但后者要非常小心。
• CLOSE-WAIT (关闭等待)：被动关闭方（通常是服务器）收到了对方的FIN包并发送了ACK，现在它告诉应用程序，连接要关闭了，但应用程序还没真正关闭自己的套接字。大量CLOSE-WAIT通常意味着应用程序没有及时关闭连接，这往往是应用层代码的bug。
• LAST-ACK (最后确认)：被动关闭方在发送了自己的FIN包后，等待主动关闭方发送最终的ACK。
• CLOSING (关闭中)：这个状态比较少见，表示双方几乎同时发送了FIN包，并且都收到了对方的FIN包，但还没收到自己发出的FIN包的ACK。

如何快速定位占用特定端口的进程或异常连接？

定位特定端口的进程，或者找出那些看起来不对劲的连接，是日常运维里经常遇到的场景。

要找哪个进程占用了某个端口，

lsof

lsof -i :80

它会列出所有与80端口相关的进程信息，包括PID、用户、命令等。如果端口被占用但服务没启动，这能帮你快速找到“罪魁祸首”。

结合

ss

netstat

grep

TIME-WAIT

ss -tna | grep TIME-WAIT

或者，如果你发现某个特定IP地址的连接非常多，或者状态异常，你可以这样过滤：

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

27

查看详情

ss -tna | grep "192.168.1.100"

对于异常连接，我的经验是关注以下几种情况：

• 大量SYN-RECV：这可能预示着SYN Flood攻击，或者服务器处理连接请求的能力不足。
• 大量CLOSE-WAIT：几乎可以肯定，这是你的应用程序没有正确关闭TCP连接。应用应该在收到FIN后尽快关闭自己的套接字，释放资源。这通常需要检查代码逻辑。
• 大量TIME-WAIT：虽然TIME-WAIT是正常的TCP行为，但如果数量巨大到耗尽了可用端口，那就需要关注了。尤其是在高并发的短连接场景下，这很常见。虽然可以通过调整

  net.ipv4.tcp_tw_reuse

  登录后复制
  （允许将TIME-WAIT状态的端口用于新的TCP连接，但有条件限制）或

  net.ipv4.tcp_max_tw_buckets

  登录后复制
  （限制TIME-WAIT连接的最大数量）来缓解，但根源还是在应用端。
• ESTABLISHED连接长时间不活动：虽然是

  ESTABLISHED

  登录后复制
  ，但如果长时间没有数据传输，可能意味着僵尸连接或者应用层的心跳机制有问题。这需要结合应用日志来判断。

分析TCP连接状态时，有哪些进阶工具或技巧可以提升效率？

光看

ss

netstat

1. /proc/net/tcp

   登录后复制
   文件：这是内核直接暴露出来的TCP连接信息，

   ss

   登录后复制
   和

   netstat

   登录后复制
   很多时候就是从这里读取数据。直接查看这个文件，可以获得更原始、更详细的连接信息，包括inode号，这对于通过

   lsof -i -a -p <PID>

   登录后复制
   来反查进程非常有用。虽然输出格式比较晦涩，但结合

   awk

   登录后复制
   或

   sed

   登录后复制
   进行处理，能挖出不少宝藏。

2. tcpdump

   登录后复制
   进行抓包分析：如果仅仅通过连接状态无法判断问题，比如怀疑有丢包、重传、或者三次握手不完整，那么

   tcpdump

   登录后复制
   就是你的终极武器。它能捕获网络接口上的原始数据包，让你看到每个TCP段（SYN, ACK, FIN等）是如何传输的。

   tcpdump -i eth0 -nn port 80 or port 443

   登录后复制

   通过分析

   tcpdump

   登录后复制
   的输出，你可以看到TCP序列号、确认号、窗口大小、各种标志位（SYN, ACK, PSH, FIN, RST），从而判断是网络延迟、服务器处理慢、还是客户端行为异常。这虽然更底层，但能提供最确凿的证据。

3. watch

   登录后复制
   命令实时监控：在排查那些瞬时出现或周期性发生的网络问题时，

   watch

   登录后复制
   命令结合

   ss

   登录后复制
   或

   netstat

   登录后复制
   会非常方便。

   watch -n 1 'ss -tna | head -n 20' # 每秒刷新一次，显示前20条TCP连接

   登录后复制

   这样你就能动态观察连接状态的变化，捕捉到一些转瞬即逝的异常。

4. conntrack

   登录后复制
   命令：Linux内核有一个连接跟踪（Netfilter connection tracking）机制，用于防火墙和NAT。

   conntrack

   登录后复制
   命令可以显示内核的连接跟踪表。这对于理解NAT环境下的连接行为，或者排查与防火墙相关的连接问题非常有帮助。

   conntrack -L

   登录后复制

   它能告诉你哪些连接被跟踪，它们的源/目的IP、端口，以及状态。

5. 脚本化处理：当需要进行复杂的统计分析，比如统计每个IP的连接数、各种状态的连接占比，或者找出连接数增长最快的IP时，把

   ss

   登录后复制
   或

   netstat

   登录后复制
   的输出通过管道传递给

   awk

   登录后复制
   、

   sort

   登录后复制
   、

   uniq

   登录后复制
   等工具进行处理，效率会大大提升。

   例如，统计各个IP的ESTABLISHED连接数：

   ss -tna | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

   登录后复制

   这些进阶技巧，其实都是围绕着“更快、更准、更深地获取和分析信息”这个目标。在面对复杂的网络问题时，灵活运用这些工具，往往能事半功倍。

以上就是如何在Linux中分析TCP连接状态？的详细内容，更多请关注php中文网其它相关文章！