Linux ss 命令(超详细)

Linux ss 命令:网络连接的“显微镜”

在 Linux 系统中,网络问题常常是开发者最头疼的“黑箱”之一。你写完代码,启动服务,却发现客户端连不上,日志里也没报错。这时候,你可能需要一把“显微镜”来查看系统底层的网络连接状态。而 ss 命令,就是这把工具中最锋利的一把。

ss 是 “socket statistics” 的缩写,它比传统的 netstat 命令更快、更高效,尤其是在高并发场景下,能瞬间获取系统中所有网络套接字的状态。对于正在学习网络编程、运维部署或调试服务的你来说,掌握 ss 命令,就像掌握了一把打开网络世界大门的钥匙。

什么是 Linux ss 命令?它为何比 netstat 更好?

ss 命令是现代 Linux 系统中用于查看网络连接状态的核心工具。它直接从内核的 socket 缓冲区获取数据,不依赖 /proc/net/ 文件系统,因此性能远超 netstat

你可以把 ss 想象成一个实时监控网络活动的“交通指挥员”。它能告诉你:当前有哪些 TCP/UDP 连接在运行?谁在监听端口?连接处于什么状态(ESTABLISHED、TIME_WAIT、CLOSE_WAIT 等)?甚至能帮你识别出异常的连接(比如大量处于 TIME_WAIT 的连接,可能意味着连接未正确关闭)。

netstat 相比,ss 的优势非常明显:

  • 查询速度更快,尤其在连接数多时;
  • 输出更简洁,信息密度更高;
  • 支持更灵活的过滤条件;
  • 更适合自动化脚本中使用。

基础用法:快速查看所有网络连接

最基础的 ss 命令,只需输入:

ss -tuln

让我们逐个分析这个命令的含义:

  • -t:显示 TCP 连接;
  • -u:显示 UDP 连接;
  • -l:仅显示监听中的端口(Listening);
  • -n:不解析服务名和主机名,直接显示 IP 和端口号。

✅ 注释:使用 -n 可避免 DNS 查询,提升响应速度,是生产环境推荐做法。

执行后你会看到类似这样的输出:

State       Recv-Q Send-Q Local Address:Port               Peer Address:Port
LISTEN      0      128    0.0.0.0:22                     0.0.0.0:*
LISTEN      0      100    127.0.0.1:3306                   0.0.0.0:*
LISTEN      0      128    0.0.0.0:80                     0.0.0.0:*
ESTABLISHED 0      0      192.168.1.10:54321             104.16.100.20:443

每一行代表一个网络连接或监听端口,其中:

  • State:连接状态(如 LISTEN、ESTABLISHED、TIME_WAIT);
  • Recv-Q:接收队列中等待读取的数据字节数;
  • Send-Q:发送队列中等待发送的数据字节数;
  • Local Address:Port:本机的 IP 和端口;
  • Peer Address:Port:对端(客户端或服务器)的 IP 和端口。

深入过滤:按协议、状态、端口筛选

ss 的强大之处在于它的过滤能力。你可以像写 SQL 查询一样,精准筛选你关心的信息。

查看所有 TCP 的 ESTABLISHED 连接

ss -t state established

✅ 注释:state established 用于筛选已建立连接的状态,适用于排查服务是否正常接收请求。

查看某个端口的连接情况(如 80 端口)

ss -tuln sport = :80

✅ 注释:sport = :80 表示“本机端口为 80”的连接。注意:sport 是“source port”的缩写,dport 是“destination port”。这里筛选的是本地监听 80 端口的服务。

查看所有 UDP 连接

ss -uuln

✅ 注释:-u 表示 UDP,-l 表示监听,-n 表示不解析。UDP 通常用于广播、DNS 查询等场景,没有连接状态,所以不会出现 ESTABLISHED。

实用场景:排查常见网络问题

场景一:服务无法访问,怀疑端口未监听

假设你启动了一个 Nginx 服务,但访问 http://localhost 时提示连接拒绝。用 ss 检查 80 端口是否在监听:

ss -tuln | grep :80

如果输出为空,说明 Nginx 没有成功绑定到 80 端口。可能原因包括:

  • 配置文件错误;
  • 端口被其他进程占用;
  • 权限不足(普通用户无法绑定 1024 以下端口)。

你可以进一步用 lsofnetstat 检查端口占用情况。

场景二:服务器出现大量 TIME_WAIT 连接

当系统中出现大量 TIME_WAIT 状态的连接时,可能意味着连接频繁建立和关闭,导致资源浪费。查看这些连接:

ss -s

✅ 注释:ss -s 显示套接字统计信息,包括 TCP 连接总数、TIME_WAIT 数量等。如果 TIME_WAIT 数量持续增长,可能需要调整内核参数(如 tcp_tw_reusetcp_fin_timeout)。

场景三:找出占用某个端口的进程

虽然 ss 本身不直接显示进程 ID,但可以配合 --processes 参数:

ss -tulnp

✅ 注释:-p 选项显示与连接相关的进程信息。输出中会包含 PID 和进程名。例如:pid=12345/nginx。这在排查端口冲突时非常有用。

高级技巧:结合 shell 脚本自动化分析

ss 命令非常适合写成脚本,实现自动化监控。比如,每天检查是否有异常的连接:

#!/bin/bash
count=$(ss -t state established | wc -l)

if [ $count -gt 100 ]; then
    echo "警告:当前 ESTABLISHED 连接数超过 100 个,当前数量:$count"
    # 可以进一步导出详细连接列表
    ss -t state established > /tmp/established_connections_$(date +%Y%m%d).log
else
    echo "连接数正常,当前:$count"
fi

✅ 注释:这段脚本通过 wc -l 统计连接数,适合用于定时任务(cron)中监控服务器负载。

常见问题与注意事项

1. 为什么 ss 显示的 IP 是 0.0.0.0?

0.0.0.0 表示“监听所有网络接口”。例如,0.0.0.0:80 意味着服务可以在任何网卡上接收 80 端口的请求。这在部署 Web 服务时很常见。

2. 为什么有些连接显示为 ::

这是 IPv6 的表示方式。::0:0:0:0:0:0:0:0 的简写,表示监听所有 IPv6 地址。如果你只用 IPv4,可以加 -4 参数过滤:

ss -tuln4

3. ssnetstat 哪个更好?

ss 是现代 Linux 的首选工具,性能更好,功能更强。netstat 已逐渐被弃用,建议新项目中完全使用 ss

总结:掌握 Linux ss 命令,提升问题排查效率

Linux ss 命令 不仅是一个简单的网络查看工具,更是你排查服务异常、优化系统性能的利器。从基础查看到高级过滤,从单次诊断到脚本自动化,ss 都能胜任。

当你遇到“服务无法访问”“连接超时”“端口被占用”等问题时,别急着重启服务,先用 ss 看一眼连接状态。很多时候,真相就藏在那一行行输出中。

记住:网络问题,往往不是代码的问题,而是连接的问题。而 ss,就是你最可靠的“连接侦探”。

多练习,多观察,你会逐渐建立起对网络连接状态的直觉。这不仅是技术能力的提升,更是工程思维的沉淀。