如何通过命令行工具查看网站当前连接所使用的Socket端口？

一、基础概念：理解Socket连接与端口的作用

在TCP/IP协议栈中，每个网络通信都由一个四元组唯一标识：源IP:源端口 → 目标IP:目标端口。当浏览器访问网站（如www.example.com）时，会建立一个或多个Socket连接，通常使用随机的本地端口与远程服务器的80（HTTP）或443（HTTPS）端口通信。

然而，操作系统层面的命令行工具仅能展示IP和端口信息，无法直接解析加密流量中的域名（SNI除外），因此要将具体域名映射到对应Socket端口，需结合多维度技术手段。

二、常用命令行工具的基本用法

• Windows系统：netstat -ano | findstr ESTABLISHED 显示所有已建立的TCP连接，并附带进程PID。
• Linux/macOS系统：netstat -tulnp | grep :443 或更现代的 ss -tulnp \| grep :443 可查看监听及活动连接。
• 使用 lsof -i :443 可列出所有使用443端口的进程及其PID。

这些命令可帮助定位浏览器进程（如Chrome、Firefox）打开的远程连接，但输出中仅包含IP地址，不显示原始请求的域名。

三、进阶分析：从进程PID关联浏览器标签页

现代浏览器采用多进程架构，每个标签页可能运行在独立的渲染进程中，导致单一主进程无法准确反映具体域名连接。

四、域名与IP映射难题：HTTPS与SNI机制

尽管HTTPS流量内容加密，但在TLS握手阶段，客户端会发送Server Name Indication (SNI)扩展字段，明文传输目标域名（如www.example.com）。这为识别提供了突破口。

可通过以下方式提取SNI信息：

# 使用tcpdump捕获TLS握手包
sudo tcpdump -i lo -s 0 -w tls.pcap 'port 443 and host <target_ip>'

# 使用Wireshark或tshark解析SNI
tshark -r tls.pcap -Y 'tls.handshake.type == 1' -T fields -e ip.dst -e tls.handshake.extensions_server_name

此方法可在不解密的情况下识别出域名与目标IP的对应关系。

五、HTTP/2连接复用带来的挑战与应对策略

HTTP/2支持多路复用（Multiplexing），多个请求共用同一个TCP连接。这意味着即使访问多个不同子域名，也可能只建立一个Socket连接，传统netstat无法区分内部逻辑流。

此时必须依赖应用层日志或浏览器开发者工具中的“Network”面板来追踪各资源的实际请求路径。

六、综合解决方案：结合命令行与高级工具进行交叉验证

1. 在浏览器开发者工具中记录目标网站的IP地址（通过“Headers”或“Timing”选项卡）
2. 使用 lsof -p <browser_pid> 查看该浏览器进程的所有网络连接
3. 过滤出与目标IP通信的条目，获取本地端口号
4. 配合 ss -o state established \( dport = :443 or sport = :443 \) 精确筛选
5. 利用 curl --connect-to ... --trace 模拟并跟踪连接细节
6. 部署 eBPF 脚本（如使用 bpftrace）监控内核级 socket 分配事件
7. 集成 Chrome DevTools Protocol 编写脚本自动抓取页面请求与底层连接映射
8. 使用 mitmproxy 作为中间人代理解密HTTPS并记录完整会话
9. 结合 Zeek（原Bro）等网络分析框架生成高层语义日志
10. 构建自动化流水线：命令行+API调用+日志聚合实现端到端追踪

这种混合式排查方法适用于复杂企业环境下的性能调优与安全审计场景。