6種查看Linux進(jìn)程占用端口號(hào)的方法詳解

發(fā)布時(shí)間：2024-08-11

對于 linux 系統(tǒng)管理員來說，清楚某個(gè)服務(wù)是否正確地綁定或監(jiān)聽某個(gè)端口，是至關(guān)重要的。如果你需要處理端口相關(guān)的問題，這篇文章可能會(huì)對你有用。
端口是 linux 系統(tǒng)上特定進(jìn)程之間邏輯連接的標(biāo)識(shí)，包括物理端口和軟件端口。由于 linux 操作系統(tǒng)是一個(gè)軟件，因此本文只討論軟件端口。軟件端口始終與主機(jī)的 ip 地址和相關(guān)的通信協(xié)議相關(guān)聯(lián)，因此端口常用于區(qū)分應(yīng)用程序。大部分涉及到網(wǎng)絡(luò)的服務(wù)都必須打開一個(gè)套接字來監(jiān)聽傳入的網(wǎng)絡(luò)請求，而每個(gè)服務(wù)都使用一個(gè)獨(dú)立的套接字。
套接字是和 ip 地址、軟件端口和協(xié)議結(jié)合起來使用的，而端口號(hào)對傳輸控制協(xié)議（tcp）和用戶數(shù)據(jù)報(bào)協(xié)議（udp）協(xié)議都適用，tcp 和 udp 都可以使用 0 到 65535 之間的端口號(hào)進(jìn)行通信。
以下是端口分配類別：
0 – 1023： 常用端口和系統(tǒng)端口1024 – 49151： 軟件的注冊端口49152 – 65535： 動(dòng)態(tài)端口或私有端口在 linux 上的 /etc/services 文件可以查看到更多關(guān)于保留端口的信息。
# less /etc/services # /etc/services: # $id: services,v 1.55 2013/04/14 ovasik exp $ # # network services, internet style # iana services version: last updated 2013-04-10 # # note that it is presently the policy of iana to assign a single well-known # port number for both tcp and udp; hence, most entries here have two entries # even if the protocol doesn't support udp operations. # updated from rfc 1700, ``assigned numbers'' (october 1994). not all ports # are included, only the more common ones. # # the latest iana port assignments can be gotten from # http://www.iana.org/assignments/port-numbers # the well known ports are those from 0 through 1023. # the registered ports are those from 1024 through 49151 # the dynamic and/or private ports are those from 49152 through 65535 # # each line describes one service, and is of the form: # # service-name port/protocol [aliases ...] [# comment] tcpmux 1/tcp # tcp port service multiplexer tcpmux 1/udp # tcp port service multiplexer rje 5/tcp # remote job entry rje 5/udp # remote job entry echo 7/tcp echo 7/udp discard 9/tcp sink null discard 9/udp sink null systat 11/tcp users systat 11/udp users daytime 13/tcp daytime 13/udp qotd 17/tcp quote qotd 17/udp quote msp 18/tcp # message send protocol (historic) msp 18/udp # message send protocol (historic) chargen 19/tcp ttytst source chargen 19/udp ttytst source ftp-data 20/tcp ftp-data 20/udp # 21 is registered to ftp, but also used by fsp ftp 21/tcp ftp 21/udp fsp fspd ssh 22/tcp # the secure shell (ssh) protocol ssh 22/udp # the secure shell (ssh) protocol telnet 23/tcp telnet 23/udp # 24 - private mail system lmtp 24/tcp # lmtp mail delivery lmtp 24/udp # lmtp mail delivery可以使用以下六種方法查看端口信息。
ss：可以用于轉(zhuǎn)儲(chǔ)套接字統(tǒng)計(jì)信息。
netstat：可以顯示打開的套接字列表。
lsof：可以列出打開的文件。
fuser：可以列出那些打開了文件的進(jìn)程的進(jìn)程 id。
nmap：是網(wǎng)絡(luò)檢測工具和端口掃描程序。
systemctl：是 systemd 系統(tǒng)的控制管理器和服務(wù)管理器。
以下我們將找出 sshd 守護(hù)進(jìn)程所使用的端口號(hào)。
方法 1：使用 ss 命令
ss 一般用于轉(zhuǎn)儲(chǔ)套接字統(tǒng)計(jì)信息。它能夠輸出類似于 netstat 輸出的信息，但它可以比其它工具顯示更多的 tcp 信息和狀態(tài)信息。
它還可以顯示所有類型的套接字統(tǒng)計(jì)信息，包括 packet、tcp、udp、dccp、raw、unix 域等。
# ss -tnlp | grep ssh listen 0 128 *:22 *:* users:((sshd,pid=997,fd=3)) listen 0 128 :::22 :::* users:((sshd,pid=997,fd=4))也可以使用端口號(hào)來檢查。
# ss -tnlp | grep :22 listen 0 128 *:22 *:* users:((sshd,pid=997,fd=3)) listen 0 128 :::22 :::* users:((sshd,pid=997,fd=4))方法 2：使用 netstat 命令
netstat 能夠顯示網(wǎng)絡(luò)連接、路由表、接口統(tǒng)計(jì)信息、偽裝連接以及多播成員。
默認(rèn)情況下，netstat 會(huì)列出打開的套接字。如果不指定任何地址族，則會(huì)顯示所有已配置地址族的活動(dòng)套接字。但 netstat 已經(jīng)過時(shí)了，一般會(huì)使用 ss 來替代。
# netstat -tnlp | grep ssh tcp 0 0 0.0.0.0:22 0.0.0.0:* listen 997/sshd tcp6 0 0 :::22 :::* listen 997/sshd也可以使用端口號(hào)來檢查。
# netstat -tnlp | grep :22 tcp 0 0 0.0.0.0:22 0.0.0.0:* listen 1208/sshd tcp6 0 0 :::22 :::* listen 1208/sshd方法 3：使用 lsof 命令
lsof 能夠列出打開的文件，并列出系統(tǒng)上被進(jìn)程打開的文件的相關(guān)信息。
# lsof -i -p | grep ssh command pid user fd type device size/off node name sshd 11584 root 3u ipv4 27625 0t0 tcp *:22 (listen) sshd 11584 root 4u ipv6 27627 0t0 tcp *:22 (listen) sshd 11592 root 3u ipv4 27744 0t0 tcp vps.2daygeek.com:ssh->103.5.134.167:49902 (established)也可以使用端口號(hào)來檢查。
# lsof -i tcp:22 command pid user fd type device size/off node name sshd 1208 root 3u ipv4 20919 0t0 tcp *:ssh (listen) sshd 1208 root 4u ipv6 20921 0t0 tcp *:ssh (listen) sshd 11592 root 3u ipv4 27744 0t0 tcp vps.2daygeek.com:ssh->103.5.134.167:49902 (established)方法 4：使用 fuser 命令
fuser 工具會(huì)將本地系統(tǒng)上打開了文件的進(jìn)程的進(jìn)程 id 顯示在標(biāo)準(zhǔn)輸出中。
# fuser -v 22/tcp user pid access command 22/tcp: root 1208 f.... sshd root 12388 f.... sshd root 49339 f.... sshd方法 5：使用 nmap 命令
nmap（“network mapper”）是一款用于網(wǎng)絡(luò)檢測和安全審計(jì)的開源工具。它最初用于對大型網(wǎng)絡(luò)進(jìn)行快速掃描，但它對于單個(gè)主機(jī)的掃描也有很好的表現(xiàn)。
nmap 使用原始 ip 數(shù)據(jù)包來確定網(wǎng)絡(luò)上可用的主機(jī)，這些主機(jī)的服務(wù)（包括應(yīng)用程序名稱和版本）、主機(jī)運(yùn)行的操作系統(tǒng)（包括操作系統(tǒng)版本等信息）、正在使用的數(shù)據(jù)包過濾器或防火墻的類型，以及很多其它信息。
# nmap -sv -p 22 localhost starting nmap 6.40 ( http://nmap.org ) at 2018-09-23 12:36 ist nmap scan report for localhost (127.0.0.1) host is up (0.000089s latency). other addresses for localhost (not scanned): 127.0.0.1 port state service version 22/tcp open ssh openssh 7.4 (protocol 2.0) service detection performed. please report any incorrect results at http://nmap.org/submit/ . nmap done: 1 ip address (1 host up) scanned in 0.44 seconds方法 6：使用 systemctl 命令
systemctl 是 systemd 系統(tǒng)的控制管理器和服務(wù)管理器。它取代了舊的 sysv 初始化系統(tǒng)管理，目前大多數(shù)現(xiàn)代 linux 操作系統(tǒng)都采用了 systemd。
# systemctl status sshd ● sshd.service - openssh server daemon loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled) active: active (running) since sun 2018-09-23 02:08:56 edt; 6h 11min ago docs: man:sshd(8) man:sshd_config(5) main pid: 11584 (sshd) cgroup: /system.slice/sshd.service └─11584 /usr/sbin/sshd -d sep 23 02:08:56 vps.2daygeek.com systemd[1]: starting openssh server daemon... sep 23 02:08:56 vps.2daygeek.com sshd[11584]: server listening on 0.0.0.0 port 22. sep 23 02:08:56 vps.2daygeek.com sshd[11584]: server listening on :: port 22. sep 23 02:08:56 vps.2daygeek.com systemd[1]: started openssh server daemon. sep 23 02:09:15 vps.2daygeek.com sshd[11589]: connection closed by 103.5.134.167 port 49899 [preauth] sep 23 02:09:41 vps.2daygeek.com sshd[11592]: accepted password for root from 103.5.134.167 port 49902 ssh2以上輸出的內(nèi)容顯示了最近一次啟動(dòng) sshd 服務(wù)時(shí) ssh 服務(wù)的監(jiān)聽端口。但它不會(huì)將最新日志更新到輸出中。
# systemctl status sshd ● sshd.service - openssh server daemon loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled) active: active (running) since thu 2018-09-06 07:40:59 ist; 2 weeks 3 days ago docs: man:sshd(8) man:sshd_config(5) main pid: 1208 (sshd) cgroup: /system.slice/sshd.service ├─ 1208 /usr/sbin/sshd -d ├─23951 sshd: [accepted] └─23952 sshd: [net] sep 23 12:50:36 vps.2daygeek.com sshd[23909]: invalid user pi from 95.210.113.142 port 51666 sep 23 12:50:36 vps.2daygeek.com sshd[23909]: input_userauth_request: invalid user pi [preauth] sep 23 12:50:37 vps.2daygeek.com sshd[23911]: pam_unix(sshd:auth): check pass; user unknown sep 23 12:50:37 vps.2daygeek.com sshd[23911]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=95.210.113.142 sep 23 12:50:37 vps.2daygeek.com sshd[23909]: pam_unix(sshd:auth): check pass; user unknown sep 23 12:50:37 vps.2daygeek.com sshd[23909]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=95.210.113.142 sep 23 12:50:39 vps.2daygeek.com sshd[23911]: failed password for invalid user pi from 95.210.113.142 port 51670 ssh2 sep 23 12:50:39 vps.2daygeek.com sshd[23909]: failed password for invalid user pi from 95.210.113.142 port 51666 ssh2 sep 23 12:50:40 vps.2daygeek.com sshd[23911]: connection closed by 95.210.113.142 port 51670 [preauth] sep 23 12:50:40 vps.2daygeek.com sshd[23909]: connection closed by 95.210.113.142 port 51666 [preauth]大部分情況下，以上的輸出不會(huì)顯示進(jìn)程的實(shí)際端口號(hào)。這時(shí)更建議使用以下這個(gè) journalctl 命令檢查日志文件中的詳細(xì)信息。
# journalctl | grep -i openssh\|sshd sep 23 02:08:56 vps138235.vps.ovh.ca sshd[997]: received signal 15; terminating. sep 23 02:08:56 vps138235.vps.ovh.ca systemd[1]: stopping openssh server daemon... sep 23 02:08:56 vps138235.vps.ovh.ca systemd[1]: starting openssh server daemon... sep 23 02:08:56 vps138235.vps.ovh.ca sshd[11584]: server listening on 0.0.0.0 port 22. sep 23 02:08:56 vps138235.vps.ovh.ca sshd[11584]: server listening on :: port 22. sep 23 02:08:56 vps138235.vps.ovh.ca systemd[1]: started openssh server daemon.查看服務(wù)器占用端口是我們系統(tǒng)管理員必須掌握的技能，以上查看linux進(jìn)程占用端口號(hào)的6種方法至少要會(huì)其中的一種