如何列出对远程计算机开放的所有套接字？

Question

在大多数环境中，您只希望找到 tcp、udp、原始套接字和数据包套接字。幸运的是，ss知道所有这些。

假设ss知道您需要的所有协议，我可能会使用以下命令。这将排除“unix”套接字。它还排除了“netlink”套接字，这些套接字仅用于与本地内核通信。

sudo ss -l -p | grep -vE '^(u_|nl )'

通常您没有很多监听套接字。因此，您可以查看所有这些内容，并手动忽略任何侦听环回 IP 地址的内容。或者，您可以要求ss进行所有过滤：

sudo ss -l -p -A 'all,!unix,!netlink' 'not src 127.0.0.1 not src [::1]'

在这两种情况下，输出还可以包括“客户端”udp 套接字。因此它还可能显示 DNS 客户端、HTTP/3 客户端……

如果您不需要查看打开每个套接字的程序的信息，那么您可以删除该-p选项，并且不需要以root权限运行ss（或）（）。netstatsudo

上面的命令有多全面？

尽管被宣传为 netstat 的替代品，但ss缺乏对显示“udplite”套接字的支持。

另外，答案取决于您的版本ss（我猜也取决于内核）。最初写这个答案时，之前2017年，ss不支持“sctp”。 netstat从那时起就支持它2014年2月）。 sctp 预计具体里面电话公司。在电话公司之外，VOIP 通常使用 udp。

虽然netstat支持udplite和sctp，但不支持“dccp”。此外，netstat 不支持数据包套接字（如原始套接字，但包括链路级标头），如ss -l -0.总之，我讨厌一切，而且我可能可以忍受不那么迂腐。

也不ss支持蓝牙插座。蓝牙插座并不是传统意义上的问题。如果您正在进行全面审核，这可能是相关的。不过，蓝牙安全性是一个非常具体的问题；我这里不回答。

省略 localhost 中`netstat`？

netstat没有特定的方法来省略绑定到本地主机的套接字。你可以用| grep -v在最后。如果您使用-pnetstat /ss 选项，请小心。如果进程名称匹配，您可能会意外排除某些进程。我会在你的模式中包含冒号，例如grep -v localhost:.除了默认情况下ss显示数字地址外，因此在这种情况下您将使用| grep -vE (127.0.0.1|\[::1\]):.我想您可以尝试检查哪些进程会被意外排除，例如ps ax | grep -E (127.0.0.1|\[::1\]):。

有没有更简单的命令？

不幸的是数据包套接字。否则，我可能会建议一个简单的netstat -l命令。 netstat有助于预测您的请求并将输出分为“Internet 连接”、“UNIX 域套接字”和“蓝牙连接”。您只需查看第一部分即可。没有 netlink 套接字部分。

假设您只关心 tcp、udp、raw 和 packet 套接字。对于前三种类型的套接字，您可以使用netstat -l -46.

数据包套接字很常用。因此您还需要训练自己运行ss -l -0（或ss -l --packet）。

不幸的是，这给你留下了一个很大的陷阱。问题是现在很想尝试结合这两个命令......

要避免的陷阱`ss`

ss -l -046作为单个命令的答案看起来很有吸引力。然而这是不是真的。 ss -46仅显示 IPv6 套接字。 ss -64仅显示 IPv4 套接字。

我建议始终对您的结果进行健全性检查。了解会发生什么；检查每个协议，看看是否缺少任何应该存在的内容。如果您没有 IPv4 地址，或没有 IPv6 地址，那就非常可疑了。您可以预期大多数服务器都会有 SSH 服务侦听这两种服务器。由于使用 DHCP，大多数非服务器也应该显示数据包或原始套接字。

如果您不想解释两个不同命令的输出，一种替代方法可能是将netstat命令替换为ss -l -A inet.这有点不幸，因为当您运行 netstat 时，完全相同的选项将排除 ipv6 套接字。

因此，对于单个命令，您可以使用ss -l -A inet,packet ....

IMO，您也可以ss -l | grep ...按照我在第一部分中建议的方式使用。这个命令很容易记住，并且它避免了的选择选项中的任何和所有令人困惑的行为ss。

尽管如果您编写使用此输出来自动化某些操作的脚本，那么您可能应该更喜欢过滤积极的相反，套接字类型列表。否则，当ss开始支持新型仅限本地套接字时，脚本可能会中断。

我是否提到过显示来自和的ss -a -A raw -f link套接字的组合？而显示ss -a -A rawss -a -f linkss -a -A inet -f inet6较少的插座比ss -a -A inet？我认为-f inet6和-f inet是特殊情况，没有正确记录。

( -0、-4和-6是-f link、-f inet、和的别名-f inet6)。

我是否提到过它将ss -A packet显示标题，但永远不会显示任何套接字？ strace表明它实际上没有读取任何内容。这似乎是因为它将数据包套接字视为始终处于“监听”状态。 ss懒得对此提供警告。这与原始套接字不同，原始套接字ss被视为同时地“听”与“不听”。

（man 7 raw表示如果原始套接字是不是绑定到特定协议但未绑定到特定 IP 协议，则它是仅传输的。我没有检查这些是否仅被视为监听套接字）

Answer 1

在大多数环境中，您只希望找到 tcp、udp、原始套接字和数据包套接字。幸运的是，ss知道所有这些。

假设ss知道您需要的所有协议，我可能会使用以下命令。这将排除“unix”套接字。它还排除了“netlink”套接字，这些套接字仅用于与本地内核通信。

sudo ss -l -p | grep -vE '^(u_|nl )'

通常您没有很多监听套接字。因此，您可以查看所有这些内容，并手动忽略任何侦听环回 IP 地址的内容。或者，您可以要求ss进行所有过滤：

sudo ss -l -p -A 'all,!unix,!netlink' 'not src 127.0.0.1 not src [::1]'

在这两种情况下，输出还可以包括“客户端”udp 套接字。因此它还可能显示 DNS 客户端、HTTP/3 客户端……

如果您不需要查看打开每个套接字的程序的信息，那么您可以删除该-p选项，并且不需要以root权限运行ss（或）（）。netstatsudo

上面的命令有多全面？

尽管被宣传为 netstat 的替代品，但ss缺乏对显示“udplite”套接字的支持。

另外，答案取决于您的版本ss（我猜也取决于内核）。最初写这个答案时，之前2017年，ss不支持“sctp”。 netstat从那时起就支持它2014年2月）。 sctp 预计具体里面电话公司。在电话公司之外，VOIP 通常使用 udp。

虽然netstat支持udplite和sctp，但不支持“dccp”。此外，netstat 不支持数据包套接字（如原始套接字，但包括链路级标头），如ss -l -0.总之，我讨厌一切，而且我可能可以忍受不那么迂腐。

也不ss支持蓝牙插座。蓝牙插座并不是传统意义上的问题。如果您正在进行全面审核，这可能是相关的。不过，蓝牙安全性是一个非常具体的问题；我这里不回答。

省略 localhost 中`netstat`？

netstat没有特定的方法来省略绑定到本地主机的套接字。你可以用| grep -v在最后。如果您使用-pnetstat /ss 选项，请小心。如果进程名称匹配，您可能会意外排除某些进程。我会在你的模式中包含冒号，例如grep -v localhost:.除了默认情况下ss显示数字地址外，因此在这种情况下您将使用| grep -vE (127.0.0.1|\[::1\]):.我想您可以尝试检查哪些进程会被意外排除，例如ps ax | grep -E (127.0.0.1|\[::1\]):。

有没有更简单的命令？

不幸的是数据包套接字。否则，我可能会建议一个简单的netstat -l命令。 netstat有助于预测您的请求并将输出分为“Internet 连接”、“UNIX 域套接字”和“蓝牙连接”。您只需查看第一部分即可。没有 netlink 套接字部分。

假设您只关心 tcp、udp、raw 和 packet 套接字。对于前三种类型的套接字，您可以使用netstat -l -46.

数据包套接字很常用。因此您还需要训练自己运行ss -l -0（或ss -l --packet）。

不幸的是，这给你留下了一个很大的陷阱。问题是现在很想尝试结合这两个命令......

要避免的陷阱`ss`

ss -l -046作为单个命令的答案看起来很有吸引力。然而这是不是真的。 ss -46仅显示 IPv6 套接字。 ss -64仅显示 IPv4 套接字。

我建议始终对您的结果进行健全性检查。了解会发生什么；检查每个协议，看看是否缺少任何应该存在的内容。如果您没有 IPv4 地址，或没有 IPv6 地址，那就非常可疑了。您可以预期大多数服务器都会有 SSH 服务侦听这两种服务器。由于使用 DHCP，大多数非服务器也应该显示数据包或原始套接字。

如果您不想解释两个不同命令的输出，一种替代方法可能是将netstat命令替换为ss -l -A inet.这有点不幸，因为当您运行 netstat 时，完全相同的选项将排除 ipv6 套接字。

因此，对于单个命令，您可以使用ss -l -A inet,packet ....

IMO，您也可以ss -l | grep ...按照我在第一部分中建议的方式使用。这个命令很容易记住，并且它避免了的选择选项中的任何和所有令人困惑的行为ss。

尽管如果您编写使用此输出来自动化某些操作的脚本，那么您可能应该更喜欢过滤积极的相反，套接字类型列表。否则，当ss开始支持新型仅限本地套接字时，脚本可能会中断。

我是否提到过显示来自和的ss -a -A raw -f link套接字的组合？而显示ss -a -A rawss -a -f linkss -a -A inet -f inet6较少的插座比ss -a -A inet？我认为-f inet6和-f inet是特殊情况，没有正确记录。

( -0、-4和-6是-f link、-f inet、和的别名-f inet6)。

我是否提到过它将ss -A packet显示标题，但永远不会显示任何套接字？ strace表明它实际上没有读取任何内容。这似乎是因为它将数据包套接字视为始终处于“监听”状态。 ss懒得对此提供警告。这与原始套接字不同，原始套接字ss被视为同时地“听”与“不听”。

（man 7 raw表示如果原始套接字是不是绑定到特定协议但未绑定到特定 IP 协议，则它是仅传输的。我没有检查这些是否仅被视为监听套接字）

如何列出对远程计算机开放的所有套接字？

答案1

上面的命令有多全面？

省略 localhost 中`netstat`？

有没有更简单的命令？

要避免的陷阱`ss`

相关内容

答案1

上面的命令有多全面？

省略 localhost 中netstat？

有没有更简单的命令？

要避免的陷阱ss

相关内容

省略 localhost 中`netstat`？

要避免的陷阱`ss`