Linux netstat Command Tutorial voor Beginners (8 voorbeelden)

Als je nieuw bent in de Linux commandoregel, en geïnteresseerd bent in het leren van netwerkspullen, zijn er veel commandoregel hulpprogramma’s waarvan je op de hoogte moet zijn. Eén zo’n hulpmiddel is netstat. In dit artikel zullen we dit commando bespreken aan de hand van enkele gemakkelijk te begrijpen voorbeelden.

Maar voor we dat doen, is het de moeite waard te vermelden dat al deze voorbeelden getest zijn op een Ubuntu 16.04 LTS machine.

Linux netstat commando

Met het netstat commando kun je netwerkverbindingen, routeringstabellen, interface statistieken, masquerade verbindingen, en multicast lidmaatschappen afdrukken. Hierna volgt de syntaxis ervan:

netstat [OPTIONS]

Hier staat hoe de man page het uitlegt:

       Netstat  prints  information about the Linux networking subsystem.  The
       type of information printed is controlled by  the  first  argument,  as
       follows:

   (none)
       By  default,  netstat  displays  a  list of open sockets.  If you don't
       specify any address families, then the active sockets of all configured
       address families will be printed.

   --route , -r
       Display  the kernel routing tables. See the description in route(8) for
       details.  netstat -r and route -e produce the same output.

   --groups , -g
       Display multicast group membership information for IPv4 and IPv6.

   --interfaces, -i
       Display a table of all network interfaces.

   --masquerade , -M
       Display a list of masqueraded connections.

   --statistics , -s
       Display summary statistics for each protocol.

Hierna volgen enkele vraag-antwoord-achtige voorbeelden die je een goed idee moeten geven over hoe het netstat commando werkt.

Q1. Hoe gebruik je het netstat commando?

Het basisgebruik is vrij eenvoudig – voer gewoon het netstat commando uit zonder enige opties.

netstat

In mijn geval werd bijvoorbeeld de volgende uitvoer geproduceerd:

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 192.168.1.7:59510       mails11.telegram.:https ESTABLISHED
tcp        0      0 192.168.1.7:57318       13.70.5.200:https       ESTABLISHED
tcp        0      1 192.168.1.7:51238       52.114.32.7:https       SYN_SENT   
tcp      390      0 192.168.1.7:60392       del03s09-in-f10.1:https ESTABLISHED
tcp        0      1 192.168.1.7:51240       52.114.32.7:https       SYN_SENT   
tcp        0      0 192.168.1.7:50196       del03s10-in-f10.1:https TIME_WAIT  
tcp        0      0 192.168.1.7:41996       maa05s05-in-f4.1e:https TIME_WAIT  
tcp        0      0 192.168.1.7:56680       wa-in-f94.1e100.n:https ESTABLISHED
tcp        0      0 192.168.1.7:54578       del03s10-in-f14.1:https TIME_WAIT  
tcp        0      0 192.168.1.7:51310       del03s10-in-f2.1e:https TIME_WAIT

Standaard toont het commando dus een lijst van alle open sockets.

Q2. Hoe kan ik netstat numerieke adressen laten tonen?

Standaard probeert het netstat commando symbolische host-, poort-, of gebruikersnamen te achterhalen. Dit kan het gereedschap vertragen. Als je het echter prima vindt om numerieke waarden te zien, kun je het gereedschap numerieke waarden laten uitvoeren met de -n commandolijnoptie.

netstat -n

In mijn geval werd bijvoorbeeld de volgende uitvoer geproduceerd:

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 192.168.1.7:59510       149.154.171.22:443      ESTABLISHED
tcp        0      0 192.168.1.7:57318       13.70.5.200:443         ESTABLISHED
tcp        0      0 192.168.1.7:51682       52.114.32.7:443         TIME_WAIT  
tcp        0      0 192.168.1.7:54884       172.217.161.14:443      TIME_WAIT  
tcp        0      0 192.168.1.7:35112       172.217.161.5:443       ESTABLISHED
tcp        0      0 192.168.2.97:45662      148.251.237.53:21       ESTABLISHED
tcp        0      0 192.168.1.7:50892       149.154.164.224:443     ESTABLISHED
tcp        0      0 192.168.1.7:58772       172.217.194.189:443     TIME_WAIT  
tcp        0      1 192.168.1.7:47728       144.76.158.93:443       SYN_SENT   
tcp        0      1 192.168.1.7:47730       144.76.158.93:443       SYN_SENT   
tcp        0      0 192.168.1.7:59548       149.154.171.22:443      ESTABLISHED
tcp        0      0 192.168.1.7:35818       169.55.74.50:443        ESTABLISHED
tcp        0      0 192.168.1.7:50888       149.154.164.224:443     ESTABLISHED
tcp        0      0 192.168.1.7:44156       152.195.11.6:443        ESTABLISHED
tcp        0      0 192.168.1.7:58478       52.229.174.94:443       ESTABLISHED
tcp       52      0 127.0.0.1:60342         127.0.1.1:139           ESTABLISHED
tcp        0      0 192.168.1.7:58820       172.217.161.3:443       ESTABLISHED
tcp        0      0 192.168.1.7:45588       52.175.17.224:443       TIME_WAIT  
tcp        0      0 192.168.1.7:50890       149.154.164.224:443     ESTABLISHED
tcp        0      0 192.168.1.7:58192       52.77.195.144:443       ESTABLISHED
tcp        0      0 192.168.1.7:54224       172.217.31.2:443        ESTABLISHED
tcp        0      0 127.0.1.1:139           127.0.0.1:60342         ESTABLISHED
tcp        0      0 192.168.1.7:34500       192.241.190.153:443     ESTABLISHED
tcp        0      0 192.168.1.7:54888       172.217.161.14:443      ESTABLISHED

Zo zie je dat deze keer alleen numerieke waarden in de uitvoer (in de kolom Foreign Adress) werden geproduceerd.

Q3. Hoe kun je netstat alleen tcp verbindingen laten weergeven?

Dit kun je doen met de -t commandoregeloptie.

netstat -t

In mijn geval werd bijvoorbeeld de volgende uitvoer geproduceerd:

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 192.168.1.7:44236       152.195.11.6:https      ESTABLISHED
tcp        0      0 192.168.1.7:59510       mails11.telegram.:https ESTABLISHED
tcp        0      0 192.168.1.7:57318       13.70.5.200:https       ESTABLISHED
tcp        0      0 192.168.1.7:42706       maa05s05-in-f4.1e:https ESTABLISHED
tcp        0      0 192.168.1.7:51984       del03s10-in-f2.1e:https ESTABLISHED
tcp        0      0 192.168.1.7:51786       52.114.32.7:https       ESTABLISHED
tcp        0      0 192.168.1.7:52294       xx-fbcdn-shv-01-m:https ESTABLISHED
tcp        0      0 192.168.1.7:54372       del03s01-in-f2.1e:https ESTABLISHED
tcp        0      1 192.168.1.7:47788       hyperserver.semse:https SYN_SENT   
tcp        0      0 192.168.1.7:52298       xx-fbcdn-shv-01-m:https ESTABLISHED
tcp        0      0 192.168.1.7:51840       149.154.164.224:https   TIME_WAIT  
tcp        0      0 192.168.1.7:35258       del03s10-in-f1.1e:https ESTABLISHED
tcp        0      0 192.168.2.97:45662      blog.gsmarena.com:ftp   ESTABLISHED
tcp        0      0 192.168.1.7:50728       del03s10-in-f10.1:https TIME_WAIT  
tcp        0      0 192.168.1.7:56468       del03s09-in-f3.1e:https ESTABLISHED
tcp        0      0 192.168.1.7:50892       149.154.164.224:https   ESTABLISHED
tcp        0      0 192.168.1.7:45670       52.175.17.224:https     ESTABLISHED
tcp        0      0 192.168.1.7:55180       del03s10-in-f14.1:https TIME_WAIT  
tcp        0      1 192.168.1.7:47790       hyperserver.semse:https SYN_SENT   
tcp        0      0 192.168.1.7:59548       mails11.telegram.:https ESTABLISHED
tcp        0      0 192.168.1.7:35818       32.4a.37a9.ip4.st:https ESTABLISHED
tcp        0      0 192.168.1.7:50888       149.154.164.224:https   ESTABLISHED
tcp        0      0 192.168.1.7:33360       del03s10-in-f13.1:https TIME_WAIT  
tcp        0      0 192.168.1.7:52332       207.46.140.70:https     ESTABLISHED
tcp        0      0 192.168.1.7:58478       52.229.174.94:https     ESTABLISHED
tcp        0      0 192.168.1.7:54374       del03s01-in-f2.1e:https TIME_WAIT  
tcp        0      0 192.168.1.7:50216       104.24.1.68:https       TIME_WAIT  
tcp       52      0 localhost:60342         ansh:netbios-ssn        ESTABLISHED
tcp        0      0 192.168.1.7:50890       149.154.164.224:https   ESTABLISHED
tcp        0      0 192.168.1.7:55200       del03s10-in-f14.1:https TIME_WAIT  
tcp        0      0 192.168.1.7:54224       del03s01-in-f2.1e:https ESTABLISHED
tcp        0      0 ansh:netbios-ssn        localhost:60342         ESTABLISHED
tcp        0      0 192.168.1.7:55212       del03s10-in-f14.1:https TIME_WAIT  
tcp        0      1 192.168.1.7:47800       hyperserver.semse:https SYN_SENT   
tcp        0      0 192.168.1.7:45668       52.175.17.224:https     ESTABLISHED
tcp        0      0 192.168.1.7:58878       del03s10-in-f3.1e:https TIME_WAIT  
tcp        0      0 192.168.1.7:34500       do-11.lastpass.co:https ESTABLISHED
tcp        0      0 192.168.1.7:41844       a23-35-40-198.dep:https ESTABLISHED

Q4. Hoe maak je netstat alleen udp verbindingen zichtbaar?

Dit kun je doen met de -u commandolijnoptie.

netstat -u

Q5. Hoe kun je netstat alleen luisterende sockets laten tonen?

Dit is mogelijk met de -l commandolijnoptie.

netstat -l

In mijn geval werd bijvoorbeeld de volgende uitvoer geproduceerd:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 ansh:domain             *:*                     LISTEN     
tcp        0      0 localhost:ipp           *:*                     LISTEN     
tcp        0      0 *:microsoft-ds          *:*                     LISTEN     
tcp        0      0 *:netbios-ssn           *:*                     LISTEN     
tcp6       0      0 ip6-localhost:ipp       [::]:*                  LISTEN     
tcp6       0      0 [::]:microsoft-ds       [::]:*                  LISTEN     
tcp6       0      0 [::]:netbios-ssn        [::]:*                  LISTEN     
...
...
...

Q6. Hoe laat je netstat naam en PID van programma’s tonen?

Wil je dat netstat naam en proces-ID’s toont van processen waartoe elke socket behoort, gebruik dan de -p commandoregeloptie.

netstat -p

Bijvoorbeeld:

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.1.7:57318       13.70.5.200:https       ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:36732       13.76.170.95:https      ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:52050       149.154.164.224:https   ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:55974       del03s10-in-f14.1:https ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:52074       149.154.164.224:https   ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:60590       mails11.telegram.:https ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:52254       149.154.164.224:https   ESTABLISHED 3247/firefox    
tcp        0      0 192.168.2.97:45662      blog.gsmarena.com:ftp   ESTABLISHED 3160/filezilla  
tcp        0      0 192.168.1.7:35818       32.4a.37a9.ip4.st:https ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:52528       52.114.32.7:https       ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:55950       del03s10-in-f14.1:https ESTABLISHED 3247/firefox    
tcp       68      0 localhost:60342         ansh:netbios-ssn        ESTABLISHED 2625/gvfsd-smb-brow
tcp        0      0 192.168.1.7:44974       152.195.11.6:https      ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:36730       13.76.170.95:https      ESTABLISHED 3247/firefox    
tcp        0      0 ansh:netbios-ssn        localhost:60342         ESTABLISHED -               
tcp        0      0 192.168.1.7:52732       del03s10-in-f2.1e:https ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:60314       52.229.174.94:https     ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:53072       207.46.140.70:https     ESTABLISHED 3247/firefox    
tcp        0      0 192.168.1.7:34500       do-11.lastpass.co:https ESTABLISHED 3247/firefox

Zie de laatste kolom voor info over PID/programmanaam.

Q7. Hoe kan ik netstat netwerkstatistieken laten afdrukken?

Dit kan met de -s commandolijnoptie.

netstat -s

In dit geval produceert het gereedschap informatie zoals het totaal aantal ontvangen, weggegooide, afgeleverde pakketten, en nog veel meer. Hieronder volgt een voorbeeld uitvoer wanneer de -s commandolijn optie gebruikt werd.

Ip:
    592215 total packets received
    41 with invalid addresses
    0 forwarded
    0 incoming packets discarded
    580699 incoming packets delivered
    539118 requests sent out
    627 outgoing packets dropped
    482 dropped because of missing route
    2 fragments failed
Icmp:
    2337 ICMP messages received
    6 input ICMP message failed.
    ICMP input histogram:
        destination unreachable: 2337
    3917 ICMP messages sent
    0 ICMP messages failed
    ICMP output histogram:
        destination unreachable: 3917
IcmpMsg:
        InType3: 2337
        OutType3: 3917
Tcp:
    10943 active connections openings
    127 passive connection openings
    38 failed connection attempts
    467 connection resets received
    34 connections established
    443643 segments received
    414589 segments send out
    6929 segments retransmited
    428 bad segments received.
    11713 resets sent

...
...
...

Q8. Hoe kun je netstat kernel routing tabel laten weergeven?

Dit kan met de -r commandolijnoptie.

netstat -r

Het volgende is de uitvoer die in mijn geval geproduceerd werd:

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         192.168.1.1     0.0.0.0         UG        0 0          0 wlx18a6f713679b
link-local      *               255.255.0.0     U         0 0          0 wlx18a6f713679b
192.168.1.0     *               255.255.255.0   U         0 0          0 wlx18a6f713679b

Merk op dat netstat -r en route -e dezelfde uitvoer produceren.

Conclusie

Dus zoals je nu wel begrepen zult hebben, is het netstat commando een heel belangrijk hulpmiddel. Het biedt een heleboel mogelijkheden – we hebben hier nog maar aan de oppervlakte gekrast. Als je klaar bent met oefenen wat we in deze tutorial allemaal besproken hebben, ga dan naar deman pagina van het gereedschap voor meer info.