在Linux网络管理和故障排查中，netstat确实是必备的瑞士军刀。掌握这些进阶技巧能显著提升效率，尤其当服务器出现连接数爆满、端口冲突或异常流量时。

以下乃是自实战之中所总结而成的深度操作指南：

一、精准定位网络瓶颈

1. 暴露出所有潜在监听端口（含隐藏进程）

sudo netstat -tulpn | grep -E 'LISTEN|UNKNOWN'

• -p直接显示进程名/PID，快速定位异常监听程序
• UNKNOWN状态可能指向被内核模块占用的端口（如Docker虚拟网卡）

2. 按连接状态智能分类统计

netstat -ant | awk '/^tcp/ {S[$NF]++} END {for(s in S) print s, S[s]}'

输出示例：

TIME_WAIT 48
ESTABLISHED 23
SYN_SENT 5

• 重点监控TIME_WAIT过高（可能需调内核参数net.ipv4.tcp_tw_reuse）
• SYN_SENT突增提示可能有DDoS攻击

二、TCP/UDP流量透视术

3. 实时追踪指定服务的流量动态

watch -n1 "netstat -anp | grep ':80\>' | awk '{print \$5}' | cut -d: -f1 | sort | uniq -c | sort -nr"

• 每1秒刷新HTTP服务的客户端IP连接数TOP榜
• 快速识别CC攻击源IP（前5位异常IP可立即封禁）

4. 深度解析Socket缓存堆积

netstat -tn | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -n20

• 列出与当前主机保持连接的前20个IP
• 发现异常长连接（如Redis未设置密码导致被肉鸡）

三、网络拓扑可视化技巧

5. 生成CSV格式连接图谱

netstat -ano | awk -F"[ :]+" '/tcp/ {print $5","$8","$NF}' > connections.csv

用Excel打开后可：

• 数据透视分析各进程的端口分布
• 筛选CLOSE_WAIT状态的连接，解决文件描述符泄漏

6. 绘制实时流量热力图

netstat -nt | grep 'ESTABLISHED' | awk '{print $5}' | sed 's/:.*//' | sort | uniq -c | sort -nr | gnuplot -p -e 'plot "-" using 1:xtic(2) with boxes'

• 需要安装gnuplot，生成柱状图直观显示连接分布

四、netstat高阶替代方案

7. 使用ss命令实现毫秒级查询

ss -sptn sport = :443  # 查看所有HTTPS连接详情

• ss直接读取内核socket信息，比netstat快10倍
• -o显示TCP定时器信息，-e获取详细socket元数据

8. 网络诊断组合拳

lsof -i :3306 && ss -ntp dst :3306 && netstat -n | grep 3306

• 三命令联用彻底分析MySQL端口状态
• 确认是否有僵尸进程占用端口

五、生产环境经典案例

• 案例1：Nginx 502 Bad Gateway

netstat -s | grep 'segments retransmitted' 发现TCP重传率>5%

结论：IDC机房网络抖动，启用BGP多线接入

• 案例2：Redis响应缓慢

netstat -nat | grep :6379 | wc -l 显示20万+连接

对策：添加iptables连接数限制，设置tcp-keepalive

通过以上方法，我们就可以把netstat从基础工具升级为网络诊断武器库。建议在日常巡检中建立连接数基线（baseline），当指标异常波动时能快速响应。记住：netstat虽强大，但在超大规模集群中应考虑/proc/net/tcp直接解析或eBPF方案。

还是那句话：干中学，学中干

如果觉得不错的话，麻烦点个关注，收藏谢谢。

毕竟：