Linux Netzwerk Analyse mit netstat

netstat zeigt unter Linux vorhandene Netzwerkverbindungen, Routingtabellen, Interface Statistiken, Masquerade Verbindungen und Multicast Memberships. Dieser Artikel zeigt einige Anwendungsbeispiele von netstat. Neben netstat zeigt auch iptstate vorhandene Netzwerkverbindungen (mit Anzeige in Echtzeit).

Beispiele

Netzwerkverbindungen anzeigen

netstat -tapen eignet sich zum Anzeigen der aktuell vorhandenen Netzwerkverbindungen. Die einzelnen Parameter haben folgende Bedeutung:

• -t (zeige nur TCP Verbindungen, -u würde nur UDP Verbindungen zeigen)
• -a (zeige alle Verbindungen, sowohl mit State=LISTEN als auch anderen States)
• -p (zeige auch die PID und den Programmnamen zu denen die Verbindung gehört)
• -e (erweiterte Anzeige, zeigt mehr Details)
• -n (numerische Anzeige)

[root@tpw ~]# netstat -tapen
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       User       Inode      PID/Program name   
tcp        0      0 0.0.0.0:5060                0.0.0.0:*                   LISTEN      500        66008      3260/twinkle        
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      0          5355       1289/rpcbind        
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      0          6668       1589/sshd           
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      0          5505       1322/cupsd          
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      0          12548      2297/sendmail: acce 
tcp        0      0 0.0.0.0:33466               0.0.0.0:*                   LISTEN      0          6486       1532/rpc.statd      
tcp        0      0 192.168.1.52:59861          192.168.1.254:22            ESTABLISHED 500        100032     3703/ssh            
tcp        0      0 192.168.1.52:36330          217.188.215.74:443          ESTABLISHED 500        104396     2608/firefox        
tcp        0      0 192.168.1.52:33252          74.125.79.97:443            ESTABLISHED 500        101832     2608/firefox        
tcp        0      0 :::111                      :::*                        LISTEN      0          5360       1289/rpcbind        
tcp        0      0 :::22                       :::*                        LISTEN      0          6670       1589/sshd           
tcp        0      0 ::1:631                     :::*                        LISTEN      0          5504       1322/cupsd          
[root@tpw ~]# 

Routingtabellen anzeigen

netstat -r

[root@tpw ~]# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.1.0     *               255.255.255.0   U         0 0          0 eth0
default         192.168.1.254   0.0.0.0         UG        0 0          0 eth0
[root@tpw ~]# 

Interface Statistiken anzeigen

netstat -i

[root@tpw ~]# netstat -i
Kernel Interface table
Iface       MTU Met    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0       1500   0    26524      0      0      0    22118      0      0      0 BMRU
lo        16436   0       34      0      0      0       34      0      0      0 LRU
[root@tpw ~]# 

netstat -s

[root@tpw ~]# netstat -s
Ip:
    28144 total packets received
    1 with invalid addresses
    0 forwarded
    0 incoming packets discarded
    28069 incoming packets delivered
    23144 requests sent out
    10 dropped because of missing route
Icmp:
    12 ICMP messages received
    0 input ICMP message failed.
    ICMP input histogram:
        destination unreachable: 12
    13 ICMP messages sent
    0 ICMP messages failed
    ICMP output histogram:
        destination unreachable: 13
IcmpMsg:
        InType3: 12
        OutType3: 13
Tcp:
    146 active connections openings
    0 passive connection openings
    4 failed connection attempts
    29 connection resets received
    2 connections established
    16637 segments received
    12078 segments send out
    67 segments retransmited
    0 bad segments received.
    59 resets sent
Udp:
    11421 packets received
    0 packets to unknown port received.
    0 packet receive errors
    10998 packets sent
UdpLite:
TcpExt:
    7 TCP sockets finished time wait in fast timer
    543 delayed acks sent
    Quick ack mode was activated 12 times
    6 packets directly queued to recvmsg prequeue.
    8 packets directly received from prequeue
    13040 packets header predicted
    799 acknowledgments not containing data received
    1470 predicted acknowledgments
    5 times recovered from packet loss due to SACK data
    4 congestion windows recovered after partial ack
    2 TCP data loss events
    3 timeouts after SACK recovery
    7 fast retransmits
    33 other TCP timeouts
    12 DSACKs sent for old packets
    2 DSACKs received
    10 connections reset due to unexpected data
    23 connections reset due to early user close
    3 connections aborted due to timeout
    TCPDSACKIgnoredNoUndo: 1
    TCPSackShifted: 71
    TCPSackMerged: 35
    TCPSackShiftFallback: 10
IpExt:
    InMcastPkts: 19
    OutMcastPkts: 14
    InBcastPkts: 54
    OutBcastPkts: 51
    InOctets: 20989496
    OutOctets: 5396900
    InMcastOctets: 5540
    OutMcastOctets: 3421
    InBcastOctets: 6629
    OutBcastOctets: 5898
[root@tpw ~]# 

Weitere Informationen

• iptstate zeigt vorhandene Netzwerkverbindungen auch in Echtzeit

Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.