TCP状态分析方法

1、查看tcp连接情况：
命令：netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
返回：
ESTABLISHED 91
SYN_SENT 1
TIME_WAIT 4




2、查询各个tcp连接的状态：
命令：netstat -n | awk '/^tcp/'
输出：
tcp        0      0 10.6.207.11:38000       10.6.207.11:53691       ESTABLISHED 
tcp        0      0 10.6.207.11:57844       172.25.44.21:54321      TIME_WAIT   




3、查看并发连接数：
netstat -an | grep ESTABLISHED | wc -l




4、查询80端口的连接个数：
命令：netstat -nat | grep -i ":80" | wc -l
(grep 仍然不严格，会包含8080这样的）
输出：
tcp        0      0 10.6.207.11:8080        0.0.0.0:*               LISTEN      
tcp        0      1 10.6.207.11:59904       172.16.211.50:80        SYN_SENT




5、查出哪个IP地址连接最多,将其封了.
netstat -na|grep ESTABLISHED|awk {print $5}|awk -F: {print $1}|sort|uniq -c|sort -r +0n
netstat -na|grep SYN|awk {print $5}|awk -F: {print $1}|sort|uniq -c|sort -r +0n


6、查看某个端口上在运行什么程序：
lsof -i :80


7、查看所有的进程


8、查看所属root用户进程所打开的文件类型为txt的文件: 
lsof -a -u root -d txt