如何使用 netstat 命令排查服务器是否存在异常对外连接端口？

排查服务器是否存在异常对外连接，最推荐的做法是先用 netstat 列出所有活跃连接，筛选出 ESTABLISHED 状态，再反向查询进程路径确认合法性，避免直接杀进程导致服务中断。

先说结论：netstat 能快速定位对外连接的进程 ID，但需结合进程路径判断是否恶意，优先优雅停止服务而非强制 kill。

• 先确认：区分监听端口与对外连接，重点关注 ESTABLISHED 状态。
• 先处理：通过 PID 查询进程路径，确认非系统关键进程后再终止。
• 再验证：重启后复查连接状态，防止恶意进程自启复活。

准备工具

现代 Linux 发行版（如 CentOS 7+/Ubuntu 18+）可能默认未安装 netstat，需安装 net-tools 或使用 ss 替代。

安装 net-tools：
CentOS/RHEL：sudo yum install net-tools -y
Ubuntu/Debian：sudo apt install net-tools -y

替代命令（推荐）：
sudo ss -antp（功能类似，性能更好）

命令速用版

不同系统下查看网络连接及进程 ID 的命令略有差异，直接复制以下命令到终端执行：

Linux 系统：
sudo netstat -antp
说明：-a 显示所有，-n 数字显示 IP，-t 仅 TCP，-p 显示进程 PID 和名称（需 root 权限）。

Windows 系统：
netstat -ano
说明：-a 所有连接，-n 数字显示，-o 显示进程 PID。

典型输出解读

执行命令后，重点关注以下字段：

Linux 示例：
tcp 0 0 192.168.1.5:45678 203.0.113.10:443 ESTABLISHED 1234/python
解读：
1. Proto：协议类型（tcp/udp）。
2. Local Address：本地 IP 及端口。
3. Foreign Address：外部 IP 及端口（重点关注陌生 IP）。
4. State：连接状态（重点关注 ESTABLISHED）。
5. PID/Program：进程 ID 及名称（如 1234/python）。

分步处理

第一步：列出所有活跃连接
执行上述命令速用版中的指令。若输出内容过多，可配合过滤命令缩小范围。

Linux 过滤已建立连接：
sudo netstat -antp | grep ESTABLISHED
Windows 过滤已建立连接：
netstat -ano | findstr ESTABLISHED

第二步：定位可疑进程 PID
在输出结果中找到 Foreign Address（外部地址）列陌生的 IP，记录对应的 PID（进程 ID）。注意观察 Local Address 是否为 0.0.0.0，若是则说明服务对所有网卡开放，风险更高。

第三步：查询进程详细信息
拿到 PID 后不要直接结束，先确认进程身份。

Linux 查询进程路径：
ls -l /proc/<实际 PID>/exe
或
ps -p <实际 PID> -o pid,ppid,cmd
注意：请将 <实际 PID> 替换为第二步获取的数字，例如 1234。

Windows 查询进程路径：
tasklist /fi "pid eq <实际 PID>"
若路径位于临时目录（如 Temp、AppData\Local\Temp）或文件名为随机字符串，高度可疑。

第四步：安全终止进程
确认非系统关键进程后，优先尝试优雅停止服务。

Linux：
sudo kill -15 <实际 PID>
若无效再强制终止：
sudo kill -9 <实际 PID>

Windows：
taskkill /F /PID <实际 PID>

怎么验证是否生效

执行终止操作后，再次运行 netstat 命令，确认对应的 PID 和连接已消失。同时观察服务器 CPU 和内存负载是否恢复正常。若进程重启后再次出现相同连接，需检查开机自启项（Linux 检查 systemctl list-unit-files，Windows 检查任务管理器启动项），防止恶意程序复活。

常见坑

1. 权限不足导致看不到进程名：Linux 下必须加 sudo，Windows 下需以管理员身份运行 CMD，否则 PID 后可能显示短横线或无法关联进程名。
2. 误杀系统关键进程：部分系统服务也会发起对外连接（如更新服务、时间同步），终止前务必核对进程路径和签名。
3. 工具过时或缺失：现代 Linux 发行版更推荐使用 ss 命令替代 netstat，若系统提示 netstat 未找到，请安装 net-tools 或使用 ss -antp。
4. 强制杀进程风险：kill -9 可能导致数据丢失，请优先使用 kill -15 发送终止信号。

原文链接：https://www.zjcp.cc/ask/11365.html