Linux中如何查看处于ESTABLISHED状态的端口及对应进程？

1. 问题背景与需求分析

在Linux系统中，查看处于ESTABLISHED状态的端口及其对应的进程信息是网络管理与性能优化的重要环节。这类需求通常出现在排查网络连接异常、分析服务器负载或检测潜在安全威胁时。传统上，用户可能依赖`netstat`命令来完成这一任务，但随着新版本Linux系统的更新，`netstat`已被官方弃用，取而代之的是功能更强大的`ss`命令。

以下是常见的技术难点：

• 如何快速列出所有处于ESTABLISHED状态的连接？
• 如何结合其他工具（如`lsof`或`pidof`）获取详细的进程信息？
• 如何正确组合命令参数以实现高效查询？

2. 初步解决方案：使用`ss`命令

`ss`命令是现代Linux系统中推荐的工具，用于替代已弃用的`netstat`。通过以下命令可以列出所有处于ESTABLISHED状态的连接，并显示对应的PID和程序名称：

ss -tunp | grep ESTAB

上述命令的具体参数含义如下：

3. 深入分析：结合`lsof`与`pidof`

虽然`ss`命令已经足够强大，但在某些情况下，我们可能需要更详细的进程信息。例如，当多个进程绑定到同一端口时，仅靠`ss`可能无法区分具体的进程实例。此时可以结合`lsof`命令进行进一步分析：

lsof -i -P -n | grep ESTABLISHED

`lsof`命令的参数说明如下：

• -i：显示网络文件的相关信息。
• -P：显示端口号而非服务名称。
• -n：不解析主机名。

此外，如果需要明确某个具体端口被哪个进程占用，可以使用`pidof`命令：

pidof <程序名称>

4. 高级应用：脚本化批量处理

对于复杂的场景，我们可以编写一个Shell脚本来批量处理和输出结果。以下是一个示例脚本：

#!/bin/bash
echo "Established Connections with Process Details:"
ss -tunp | grep ESTAB | while read line; do
    pid=$(echo $line | awk '{print $NF}' | tr -d '[]')
    process=$(ps -p $pid -o comm=)
    echo "$line - Process: $process"
done

该脚本的工作流程可以通过以下流程图表示：

mermaid
graph TD;
    A[运行ss命令] --> B[提取PID];
    B --> C[查询进程名称];
    C --> D[输出结果];

5. 性能优化与扩展

在高并发环境下，直接使用`ss`或`lsof`可能会导致系统资源消耗过高。为避免这种情况，可以考虑以下优化策略：

• 限制输出范围，仅显示特定端口或IP地址的连接。
• 定期保存日志并进行离线分析。
• 利用`awk`或`grep`对输出结果进行过滤，减少不必要的数据处理。

例如，仅显示与指定IP地址通信的连接：

ss -tunp | grep "ESTAB" | grep "192.168.1.1"