Linux网络排查利器：ss命令的5个实战技巧（附真实案例）

Linux网络排查利器：ss命令的5个实战技巧（附真实案例）

深夜两点，服务器告警铃声突然响起——线上订单系统出现大面积连接超时。作为值班工程师，你需要在最短时间内定位问题根源。此时，一个被低估的Linux工具将成为你的救命稻草：ss命令。与传统的netstat相比，ss命令直接读取内核数据，处理速度提升3倍以上，尤其在连接数超过10万的高并发场景下，响应时间仍能保持在毫秒级。

1. 快速定位异常连接：TCP状态过滤实战

TCP连接状态是网络故障的第一现场证据。某次电商大促期间，我们曾通过以下命令发现服务器存在大量CLOSE_WAIT状态连接：

ss -t -a | grep 'CLOSE-WAIT'

典型输出示例：

CLOSE-WAIT 1 0 192.168.1.100:443 203.0.113.5:38274 CLOSE-WAIT 1 0 192.168.1.100:443 203.0.113.5:38275

状态解析速查表：

提示：结合-p参数可显示进程信息，例如ss -t -a -p | grep 'CLOSE-WAIT'能直接定位问题进程

2. 端口占用冲突的秒级排查技巧

当服务启动报错"Address already in use"时，传统做法是netstat -tulnp全表扫描。而使用ss可以精准打击：

ss -ltnp 'sport = :8080'

输出示例：

LISTEN 0 128 0.0.0.0:8080 0.0.0.0:* users:(("java",pid=28715,fd=42))

高级过滤技巧：

• 精确匹配UDP端口：ss -lunp 'sport = :53'
• 范围查询：ss -ltnp 'sport >= :8000 and sport <= :9000'
• 排除本地连接：ss -t '( dst 192.168.1.0/24 or dst 10.0.0.0/8 )'

3. 连接数统计与性能瓶颈分析

某金融系统在压力测试时出现性能骤降，通过以下命令发现单进程连接数异常：

ss -t -a -p | awk '/ESTAB/{print $6}' | sort | uniq -c | sort -nr

输出示例：

1428 192.168.1.100:nginx 328 192.168.1.100:redis 15 192.168.1.100:postgres

关键指标监控脚本：

#!/bin/bash while true; do date ss -s | grep -A 10 'Total:' ss -t -a state established | wc -l sleep 5 done

该脚本每5秒输出：

• 总连接数统计
• 各状态连接分布
• ESTABLISHED连接总数

4. 容器网络诊断的隐藏用法

在Docker/K8s环境中，传统工具常因命名空间隔离失效。ss的-n参数配合进程过滤却能穿透容器壁垒：

ss -t -a -p | grep docker-proxy

典型容器网络问题排查流程：

1. 确认端口映射：ss -ltnp | grep <容器端口>
2. 检查跨节点通信：ss -t '( dst <对端节点IP> )'
3. 验证CNI插件效率：time ss -t -a > /dev/null

某次生产环境偶发连接超时，正是通过对比宿主机和容器内的ss -s输出，发现CNI插件的TIME-WAIT连接回收异常。

5. 安全审计与异常连接追踪

安全事件响应时，快速识别异常连接至关重要。以下命令组合可构建基本审计方案：

# 检查非标准监听端口 ss -ltnp | grep -vE ': (80|443|22)' # 发现外联可疑IP ss -t -a dst 45.155.205.0/24 # 监控瞬时连接爆发 watch -n 1 'ss -t -a state syn-recv | wc -l'

企业级安全检查清单：

• [ ] 定期归档ss -s的统计基线
• [ ] 监控SYN-RECV状态连接数波动
• [ ] 建立端口-进程白名单机制
• [ ] 对ESTABLISHED连接做地理IP分析

某次服务器入侵事件中，攻击者通过爆破Redis端口获取权限。事后分析发现，若当时启用以下监控命令，可提前1小时告警：

watch -n 60 'ss -tnp sport = :6379 | grep -v 127.0.0.1 | wc -l'

掌握这5个实战技巧后，ss命令将成为你网络工具箱中最锋利的瑞士军刀。记得在下次深夜告警时，先深呼吸，然后敲下ss -t -a -p——答案可能就在那几行简洁的输出中。