Первое знакомство с командой ss

https://www.linux.com/learn/intro-to-linux/2017/7/introduction-ss-command
  • Перевод
  • Tutorial
В Linux есть программы, которые пригодятся программистам, специалистам по информационной безопасности, администраторам… короче говоря, каждый найдёт здесь то, что ему нужно.

Инструмент командной строки netstat был одним из тех средств, которыми часто пользовались системные администраторы. Однако команда netstat была признана устаревшей и на смену ей пришла более быстрая и удобная в использовании команда ss.



Сегодня мы поговорим о том, как применять ss для того, чтобы узнавать о том, что происходит с сетью на компьютере, работающем под управлением Linux.

О команде ss


Команда ss — это инструмент, используемый для вывода сетевой статистики в виде, похожем на тот, который выдаёт команда netstat. Однако, ss делает это проще и быстрее, чем netstat. Кроме того, ss даёт более подробные сведения о TCP-подключениях и о состояниях соединений, чем большинство других инструментов. В частности, ss может выводить данные о таких сущностях, как PACKET, TCP, UDP, DCCP, RAW, и сокеты домена Unix. Команда ss проще, чем netstat. для того, чтобы в этом убедиться, достаточно сравнить страницы man этих двух инструментов. С помощью ss можно получить весьма подробные сведения о том, как машина, работающая под управлением Linux, обменивается данными с другими компьютерами. Всё это открывает возможности по диагностике и устранению различных сетевых ошибок.

Основы ss


Команда ss работает так же, как и любые другие утилиты командной строки Linux. А именно, в командной строке вводят имя соответствующего исполняемого файла, за которым следует необходимая комбинация опций. Если взглянуть на страницу справки по ss (вызвать её можно командой man ss), можно заметить, что тут присутствует гораздо меньше ключей командной строки, чем у netstat. Однако это не говорит о скудных возможностях ss. На самом деле, перед нами — весьма мощный инструмент.

Если запустить ss без аргументов командной строки или опций, она выведет полный список работающих соединений.


Полный список установленных соединений

Так как команда ss (без опций) показывает очень много данных (подробности по всем соединениям, установленным по TCP, UDP и с помощью сокетов Unix), можно отправить вывод этой команды в файл для того, чтобы проанализировать его позже. Делается это, например, так:

ss > ss_output

Конечно, в любых ситуациях команда в простейшем виде не так уж и полезна. Что если нужно лишь вывести список сокетов, ожидающих соединений? Сделать это просто — достаточно воспользоваться опцией -l:

ss -l

Такая команда выведет список, в котором присутствуют лишь сокеты, находящиеся в режиме прослушивания сети.

Для того чтобы ещё немного сузить диапазон выводимых этой командой данных, учитывайте то, что опция -t позволяет просматривать сведения по TCP-соединениям, опция -u предназначена для вывода данных по UDP-соединениям, опция -x выводит данные по соединениям Unix. Выглядит всё это следующим образом: ss -t, ss -u, или ss -x. Любая из этих команд выведет большой объём данных, которые можно проанализировать.


Команда ss, выполненная в Elementary OS выдаёт список UDP-соединений

По умолчанию использование опций -t, -u или -x выведет лишь данные по установленным соединениям. Если нужно отобрать соединения, ожидающие подключений, понадобится добавить к вызову команды опцию -a:

ss -t -a

В вывод этой команды попадут TCP-сокеты:


Обратите внимание на то, что последний сокет ожидает ssh-подключений

В вышеприведённом примере можно заметить, что соединения (в различных состояниях) установлены с IP-адреса анализируемого компьютера, при этом выводятся сведения по портам на этом компьютере, а также по адресам и портам на удаленных системах. В отличие от команды netstat, ss не выводит сведения о PID и имени команды, ответственной за конкретное соединение. Однако, даже учитывая это, в нашем распоряжении оказывается немало данных для поиска сетевых ошибок. Если нечто оказывается под подозрением, ss позволит узнать подробности о соединении, а значит, дать в распоряжение администратора сведения, которые пригодятся на ранних стадиях решения сетевых проблем.

Фильтрация вывода ss на основе состояний TCP


Весьма удобная возможность команды ss заключается в том, что она может фильтровать вывод, используя состояния TCP (или состояния жизненного цикла соединения). Благодаря использованию состояний облегчается фильтрация вывода ss. А именно, здесь доступны все стандартные состояния TCP:

  • established
  • syn-sent
  • syn-recv
  • fin-wait-1
  • fin-wait-2
  • time-wait
  • closed
  • close-wait
  • last-ack
  • listening
  • closing

Кроме того, ss распознаёт следующие идентификаторы состояний:

  • all (все вышеперечисленные состояния)
  • connected (все состояния, кроме ожидающих соединения и закрытых)
  • synchronized (все состояния, соответствующие установленным соединениям, за исключением syn-sent)
  • bucket (состояния, представляющие собой минисокеты, например — time-wait и syn-recv)
  • big (всё кроме того, что соответствует идентификатору bucket)

Работать с состояниями довольно просто. Например, для IPv4 это выглядит так:

ss -4 state FILTER

Для IPv6 так:

ss -6 state FILTER

В этих двух примерах FILTER представляет собой идентификатор состояния.
Предположим, нужно просмотреть все ожидающие соединения IPv4-сокеты. Сделать это поможет такая команда:

ss -4 state listening

В ответ на эту команду система выведет нечто подобное тому, что показано на следующем рисунке.


Использование ss с фильтром состояния ожидания соединения

Показ подключений с конкретных адресов


Одно из полезных применений ss заключается в том, чтобы получать с помощью этой команды сведения по соединениям, установленных с неких IP-адресов. Предположим, нужно выяснить, подключена ли машина, скажем, с IP-адресом 192.168.1.139 к нашему серверу, и если это так — узнать об этом подробности. Для решения этой задачи подойдёт такая команда:

ss dst 192.168.1.139

В ответ на эту команду будут выведены сведения, включающие в себя Netid, состояние подключения, данные по локальному IP-адресу и порту, а также по удалённому IP и порту соединения.


Удалённый компьютер установил ssh-подключение к нашей машине

Итоги


Утилита ss может очень пригодиться в делах поиска и устранения сетевых неполадок Linux-серверов. Конечно, для того, чтобы в полной мере освоить ss, неплохо будет почитать man и попрактиковаться. Однако, теперь у вас есть представление о том, как применять эту команду, которую просто необходимо знать современному администратору Linux.

Уважаемые читатели! Пользуетесь ли вы ss?

RUVDS.com 549,18
RUVDS – хостинг VDS/VPS серверов
Поделиться публикацией
Похожие публикации
Комментарии 13
  • –10
    Уже пару лет пользуюсь этим инструментом. Во всех современных дистрибутивах netstat уже выпили по умолчанию.
    • +3

      а я не понимаю почему нетстат не угодил
      почему переименованный вариант потребовался


      это все это веяние: systemd, ss, блобы в http протоколе, итп


      очень похоже на что-то большое и нехорошее

    • +5

      Стоит отменить полезный флаг -p, который позволит узнать какому-же все-таки процессу принадлежит соединение.
      Итого обычно нужны ss -tp и ss -tl

      • –1
        Он ублюдский. Вывод ss с этим флагом даже не имеет заголовка. Пишет кучу ненужного текста, типа users((«vsftpd»,pid=2306,fd=3)) ЗАЧЕМ?? netstat -tnlp против ss даст заголовок PID/Program name и напишет 2306/vsftpd Нормально, лаконично, нет ненужных символов. ss вместо 0.0.0.0 выводит *. Из-за этого мы имеем на экране не ровную таблицу со всей необходимой информацией, а широкую простыню которую можно читать только через less. При этом информации в ss -tnlp и netstat -tnlp будет одинаково, только вывод ss нечитаемый от слова совсем. Нафига козе боян?
      • 0
        Может не по глазам, но никак не могу понять как с помощью ss посмотреть кто занял определенный порт и какие порты слушает определенный процесс?
        netstat -nlpt|grep 443
        netstat -nlpt|grep apache2
        • +3
          Как-то так:
          ss -nlpt|grep 443
          ss -nlpt|grep apache2
        • +2

          Узнать, кто занял порт, можно одной из следующих команд:


          ss -p state listening '( sport = :443 )'
          ss -tlp '( sport = :443 )'
          ss -p state listening '( sport = :http or sport = :https )'

          Процесс:


          ss -4tlp | grep nginx

          Можно ещё добавить:


          ss -tlp '( sport = :443 )' | tr -d '\t'

          если на дисплее не помещается :-)

          • 0
            Ну в принципе сойдет. Но в выводе либо порт, либо процесс. netstat более нагляден, что ли.
        • +1
          В отличие от команды netstat, ss не выводит сведения о PID и имени команды, ответственной за конкретное соединение.

          Дык netstat тоже по умолчанию не выводит этой инфы. Обеим коммандам надо ключ -p передавать для этого. Отличие лишь в формате.

          • 0
            Уже маны начали как статьи оформлять
            • 0
              Читал, думал, «а дай ка напишу», а оказывается многие и не знали. Ну чтож, спасибо за статью.
              ЗЫ: Как сказал Merifri, порт вполне можно проверить.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое