netstat查看网络状态
2016-09-06 14:36
246 查看
本机ip、127.0.0.1和0.0.0.0区别及内环流量
所谓内环流量
简单的说是指 计算机内部,程序间通讯产生的流量,或者叫 本地流量,对应的是来自网络的流量。
比如,你安装了卡巴斯基,avast 或者 NOD32,这些程序都有 网络监控功能,会接管来自网络的流量,当你上网、下载的时候,上传、下载都会被
卡巴斯基、NOD32 接管,然后再分发给 实际的进程。在不区分内环流量的时候,你会发现所有带网络监控功能的安全软件上传、下载量都非常大,这就是因为他们接管网络流量导致的。
别外常见的情况是,使用 在线视频类软件遇到的,在优酷看视频的时候,流量都被 iKu 接管,iKu
负责视频流量的上传、下载,而你在 网页上看到的视频,则是由 iKu 下载到本地,然后上传给 浏览器 的。这时 iKu 也产生了一个 内环流量。
127.0.0.1。这个IP地址的意思是回送地址,指本地机,一般用来测试使用的。
TCP/IP协议规定,各位全为0的网络号被解释成“本网络”
若本机试图在本网内通信,但又不知道本网的网络号,那么,可以利用全“0”地址。
本机ip、127.0.0.1和0.0.0.0区别
网络java
IP地址的记法:
IP地址由四个字节构成,为了方便阅读和书写,每个字节用0-255的数字表示,字节之间用’.'分割,如:
10.10.152.235
有时候我们会看到这样的IP:
10.10.152.235/24,
后面的/24表示子网掩码,24表示子网掩码上有24个1,等价于255.255.255.0 。
IP地址和子网掩码按位 与,得到的是 网络号(Network ID),
剩余的部分是子网内的 主机号(host ID,当然,这个名字小有问题,因为现在有IP的可不仅仅是主机,暂且这么称呼吧),
特殊的IP地址段:
127.x.x.x
这是大家最熟悉不过的本地loopback地址,在windows和linux上等价于localhost。
我们习惯于使用127.0.0.1,实际上,
如果你在命令行下ping 127.0.0.1-127.255.255.254之间的任意地址,结果都是一样的,它们是等价的。
正常的网络包从ip层进入链路层,然后发送到网络上,
而发向loopback地址的包,直接在IP层短路了,也就是发到IP层的包直接被IP层接收了,不再向下发送。
私网地址段:
10.x.x.x、192.168.x.x、172.16.x.x~172.31.x.x、169.254.x.x
这些私网地址段是不允许出现在Internet上的,主用保留用于企业内部组网使用,
这可以在一定程度上缓解IP地址不够用的问题。
大型企业的OA网用10地址段的比较多,因为这是一个A类地址段,包含的IP很多。
小公司用192.168.0地址段的比较多。
而169.254则主要是分配给DHCP服务使用的。
保留地址段:
128.0.x.x、191.255.x.x、192.0.0.x、233.255.255.x
这些地址被保留起来,不做分配且没有明确的用途。
其它特殊IP:
255.255.255.255是全局广播地址,
主机号全部为1的地址是子网广播地址,如:192.168.1.255
主机号全部为0的地址是代表该子网的网络地址,如:192.168.1.0
一个非常特殊的IP:0.0.0.0
这个IP相当于java中的this,代表当前设备的IP。
我们在java编程中使用ServerSocket做网络侦听,通常只需要如下代码:
ServerSocket serverSock=new ServerSocket(8888);
serverSock.accept();
假如我的主机ip为:10.10.152.8,
用以上代码做侦听,127.0.0.1:8888或者10.10.152.8:8888都可以连上,
但大家有没有想过过,这个ServerSocket到底使用哪个IP在做侦听?
如果我们将以上代码改成显式绑定:
ServerSocket ss=new ServerSocket();
String ip=“10.10.152.8″;
int port=8888;
InetSocketAddress addr=new InetSocketAddress(ip,port);
ss.bind(addr);
ss.accept();
你会发现,127.0.0.1:8888是无法访问的,
而如果将ip改成127.0.0.1,那么10.10.152.8:8888是无法访问的。
实际上,背后的秘密就在与0.0.0.0这个IP,他可以代表本机的所有IP地址,
但这个IP并不是真是存在的,我们ping不通它,如果将ip改成0.0.0.0:
ServerSocket ss=new ServerSocket();
String ip=“0.0.0.0″;
int port=8888;
InetSocketAddress addr=new InetSocketAddress(ip,port);
ss.bind(addr);
ss.accept();
我们会发现,这和默认行为是一样的,127.0.0.1:8888或者10.10.152.8:8888都可以连上。
比如说,TCP0.0.0.0连出和入127.0.0.1
还有:TCP/IP 0.0.0.0连出和入0.0.0.0 TCP/IP 127.0.0.1连出和连入127.0.0.1
127.0.0.1和本地网络 UDP连出到0.0.0.0
这些网络连接都是本地流量,也就是内环流量。
但应该限制未信任IP连入本地IP【127.0.0.1、0.0.0.0和本机IP】。限制127.0.0.1和0.0.0.0连出到外部非信任网络。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ipv6的地址表示方法:
[::]就是全0的ip,相当于是ipv4中的0.0.0.0
[::]135、[::]:287表示你的电脑使用ipv6地址,在135和287端口侦听或连接什么的
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
网络连接是有2方参与,自己就是“内部地址”,别人就是“外部地址”,就这么简洁。
再举个例子,你用浏览器打开百度网站时,自己的 IP 地址就是内部地址了,也叫“本地地址”,百度服务器的IP就是外部地址,也就“远程地址”。
追问
追答
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
TCP
连接状态 及 netstat用法
附图1. TCP连接之状态转换图
1.建立连接:
LISTENING: 指TCP正在监听端口,可以接受链接
SYNC_SEND: 已经主动发出连接建立请求。与SYN_RCVD遥想呼应,当客户端SOCKET执行CONNECT连接时,它首先发送SYN报文,因此也随即它会进入到了SYN_SENT状态,并等待服务端的发送三次握手中的第2个报文。
SYNC_RECEIVED: 收到对方的连接建立请求,
这个状态表示接受到了SYN报文,在正常情况下,这个状态是服务器端的SOCKET在建立TCP连接时的三次握手会话过程中的一个中间状态,很短暂,基本上用netstat你是很难看到这种状态的,除非你特意写了一个客户端测试程序,故意将三次TCP握手过程中最后一个ACK报文不予发送。因此这种状态时,当收到客户端的ACK报文后,它会进入到ESTABLISHED状态。
ESTABLISHED: 指TCP连接已建立,双方可以进行方向数据传递
2.关闭连接
FIN_WAIT_1: 这个状态要好好解释一下,其实FIN_WAIT_1和 FIN_WAIT_2状态的真正含义都是表示等待对方的FIN报 文。而这两种状态的区别是:FIN_WAIT_1状态实际上是当SOCKET在ESTABLISHED状态时,它想主动关闭连接,向对方发送了FIN
报文,此时该SOCKET即进入到FIN_WAIT_1 状态。而当对方回应ACK 报文后,则进入到FIN_WAIT_2状态,当然在实际的正常情况 下,无论对方何种情况下,都应该马上回应ACK报文,所以FIN_WAIT_1状态一般是比较难见到的,而FIN_WAIT_2 状态还有时常常可以用 netstat看到。
CLOSE_WAIT: 这种状态的含义其实是表示在等待关闭。当对方close一个SOCKET后发送FIN报文给自己,你系统毫无疑问地会回应一个ACK报文给对方,此时则进入到CLOSE_WAIT状态。接下来呢,实际上你真正需要考虑的事情是察看你是否还有数据发送给对方,如果没有的话,
那么你也就可以close 这个SOCKET,发送 FIN 报文给对方,也即关闭连接。所以你在CLOSE_WAIT 状态下,是等待你去关闭连接。
FIN_WAIT_2:上面已经详细解释了这种状态,实际上FIN_WAIT_2 状态下的SOCKET,表示半连接,也即有一方要求close 连接,但另外还告诉对方,我暂时还有点数据需要传送给你,稍后再关闭连接。
LAST_ACK: 是被动关闭一方在发送FIN报文后,最后等待对方的ACK报文。当收到ACK报文后,也即可以进入到CLOSED可用状态了
TIME_WAIT: 指连接已准备关闭。表示收到了对方的FIN报文,并发送出了ACK报文,就等2MSL后即可回到CLOSED可用状态了。如果FIN_WAIT_1状态下,收到了对方同时带FIN标志和ACK标志的报文时,可以直接进入到TIME_WAIT状态,而无须经过FIN_WAIT_2
状态。
-----------------------------------------------------------------------------------------------------------------------------------------
netstat -b 显示在创建每个连接或侦听端口时涉及的可执行程序,需要管理员权限,
这条指令对于查找可疑程序非常有帮助。
netstat -n -o
-n 以数字形式显示地址和端口号。
-o 显示拥有的与每个连接关联的进程 ID。
netstat -s -p
-s 显示每个协议的统计。默认情况下,显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6的统计;-p 选项可用于指定默认的子网。
-p proto 显示 proto 指定的协议的连接;proto 可以是下列任何一个: TCP、UDP、TCPv6 或 UDPv6。如果与 -s 选项一起用来显示每个协议的统计,proto 可以是下列任
何一个: IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
http://www.cnblogs.com/vigarbuaa/archive/2012/03/07/2383064.html
所谓内环流量
简单的说是指 计算机内部,程序间通讯产生的流量,或者叫 本地流量,对应的是来自网络的流量。
比如,你安装了卡巴斯基,avast 或者 NOD32,这些程序都有 网络监控功能,会接管来自网络的流量,当你上网、下载的时候,上传、下载都会被
卡巴斯基、NOD32 接管,然后再分发给 实际的进程。在不区分内环流量的时候,你会发现所有带网络监控功能的安全软件上传、下载量都非常大,这就是因为他们接管网络流量导致的。
别外常见的情况是,使用 在线视频类软件遇到的,在优酷看视频的时候,流量都被 iKu 接管,iKu
负责视频流量的上传、下载,而你在 网页上看到的视频,则是由 iKu 下载到本地,然后上传给 浏览器 的。这时 iKu 也产生了一个 内环流量。
127.0.0.1。这个IP地址的意思是回送地址,指本地机,一般用来测试使用的。
TCP/IP协议规定,各位全为0的网络号被解释成“本网络”
若本机试图在本网内通信,但又不知道本网的网络号,那么,可以利用全“0”地址。
本机ip、127.0.0.1和0.0.0.0区别
网络java
IP地址的记法:
IP地址由四个字节构成,为了方便阅读和书写,每个字节用0-255的数字表示,字节之间用’.'分割,如:
10.10.152.235
有时候我们会看到这样的IP:
10.10.152.235/24,
后面的/24表示子网掩码,24表示子网掩码上有24个1,等价于255.255.255.0 。
IP地址和子网掩码按位 与,得到的是 网络号(Network ID),
剩余的部分是子网内的 主机号(host ID,当然,这个名字小有问题,因为现在有IP的可不仅仅是主机,暂且这么称呼吧),
特殊的IP地址段:
127.x.x.x
这是大家最熟悉不过的本地loopback地址,在windows和linux上等价于localhost。
我们习惯于使用127.0.0.1,实际上,
如果你在命令行下ping 127.0.0.1-127.255.255.254之间的任意地址,结果都是一样的,它们是等价的。
正常的网络包从ip层进入链路层,然后发送到网络上,
而发向loopback地址的包,直接在IP层短路了,也就是发到IP层的包直接被IP层接收了,不再向下发送。
私网地址段:
10.x.x.x、192.168.x.x、172.16.x.x~172.31.x.x、169.254.x.x
这些私网地址段是不允许出现在Internet上的,主用保留用于企业内部组网使用,
这可以在一定程度上缓解IP地址不够用的问题。
大型企业的OA网用10地址段的比较多,因为这是一个A类地址段,包含的IP很多。
小公司用192.168.0地址段的比较多。
而169.254则主要是分配给DHCP服务使用的。
保留地址段:
128.0.x.x、191.255.x.x、192.0.0.x、233.255.255.x
这些地址被保留起来,不做分配且没有明确的用途。
其它特殊IP:
255.255.255.255是全局广播地址,
主机号全部为1的地址是子网广播地址,如:192.168.1.255
主机号全部为0的地址是代表该子网的网络地址,如:192.168.1.0
一个非常特殊的IP:0.0.0.0
这个IP相当于java中的this,代表当前设备的IP。
我们在java编程中使用ServerSocket做网络侦听,通常只需要如下代码:
ServerSocket serverSock=new ServerSocket(8888);
serverSock.accept();
假如我的主机ip为:10.10.152.8,
用以上代码做侦听,127.0.0.1:8888或者10.10.152.8:8888都可以连上,
但大家有没有想过过,这个ServerSocket到底使用哪个IP在做侦听?
如果我们将以上代码改成显式绑定:
ServerSocket ss=new ServerSocket();
String ip=“10.10.152.8″;
int port=8888;
InetSocketAddress addr=new InetSocketAddress(ip,port);
ss.bind(addr);
ss.accept();
你会发现,127.0.0.1:8888是无法访问的,
而如果将ip改成127.0.0.1,那么10.10.152.8:8888是无法访问的。
实际上,背后的秘密就在与0.0.0.0这个IP,他可以代表本机的所有IP地址,
但这个IP并不是真是存在的,我们ping不通它,如果将ip改成0.0.0.0:
ServerSocket ss=new ServerSocket();
String ip=“0.0.0.0″;
int port=8888;
InetSocketAddress addr=new InetSocketAddress(ip,port);
ss.bind(addr);
ss.accept();
我们会发现,这和默认行为是一样的,127.0.0.1:8888或者10.10.152.8:8888都可以连上。
比如说,TCP0.0.0.0连出和入127.0.0.1
还有:TCP/IP 0.0.0.0连出和入0.0.0.0 TCP/IP 127.0.0.1连出和连入127.0.0.1
127.0.0.1和本地网络 UDP连出到0.0.0.0
这些网络连接都是本地流量,也就是内环流量。
但应该限制未信任IP连入本地IP【127.0.0.1、0.0.0.0和本机IP】。限制127.0.0.1和0.0.0.0连出到外部非信任网络。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ipv6的地址表示方法:
[::]就是全0的ip,相当于是ipv4中的0.0.0.0
[::]135、[::]:287表示你的电脑使用ipv6地址,在135和287端口侦听或连接什么的
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
网络连接是有2方参与,自己就是“内部地址”,别人就是“外部地址”,就这么简洁。
再举个例子,你用浏览器打开百度网站时,自己的 IP 地址就是内部地址了,也叫“本地地址”,百度服务器的IP就是外部地址,也就“远程地址”。
那为什么有的时候两个地址的ip都是一样的呢(比如:127.0.0.1)?还有就是自己ipconfig所得到的ipv4地址和我在百度搜自己的ip是不一样的,这是什么原因?比如(自己ping:192.168.1.106,百度查的:121.204.218.202),这样我又该相信哪个才是真实的呢?
追答
那个连接是自己连接到自己的,我们的程序是可以自己机器连接到自己的机器的,比如你开了代理服务器然后自己浏览器连接到代理服务器上,另一个例子就是 eclipse 启动一种程序来调试,JVM启动之后会开一个端口,然后 eclipse 会连接上去,这时候本地地址和外部地址都是你的机器的 IP 嘛。 关于看到的 IP 不同这件事很简单,因为你的 192.168 是内网地址,你的电脑没有直接连接到互联网,而是经过 ADSL 拨号的,那个 ADSL 得到的IP 地址又叫公网地址,它是直连互联网的,百度从互联网上只能看到你的公网地址,在网络术语中,你的路由器或 ADSL 被称为网关 (gateway),这个字面上意思就是相当于古代的城门。 像百度自己是做生意的,它会申请公网地址,而且这个地址是固定的,在 ISP 运营商那里备案的。不像我们每天拨号上网。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
TCP
连接状态 及 netstat用法
附图1. TCP连接之状态转换图
1.建立连接:
LISTENING: 指TCP正在监听端口,可以接受链接
SYNC_SEND: 已经主动发出连接建立请求。与SYN_RCVD遥想呼应,当客户端SOCKET执行CONNECT连接时,它首先发送SYN报文,因此也随即它会进入到了SYN_SENT状态,并等待服务端的发送三次握手中的第2个报文。
SYNC_RECEIVED: 收到对方的连接建立请求,
这个状态表示接受到了SYN报文,在正常情况下,这个状态是服务器端的SOCKET在建立TCP连接时的三次握手会话过程中的一个中间状态,很短暂,基本上用netstat你是很难看到这种状态的,除非你特意写了一个客户端测试程序,故意将三次TCP握手过程中最后一个ACK报文不予发送。因此这种状态时,当收到客户端的ACK报文后,它会进入到ESTABLISHED状态。
ESTABLISHED: 指TCP连接已建立,双方可以进行方向数据传递
2.关闭连接
FIN_WAIT_1: 这个状态要好好解释一下,其实FIN_WAIT_1和 FIN_WAIT_2状态的真正含义都是表示等待对方的FIN报 文。而这两种状态的区别是:FIN_WAIT_1状态实际上是当SOCKET在ESTABLISHED状态时,它想主动关闭连接,向对方发送了FIN
报文,此时该SOCKET即进入到FIN_WAIT_1 状态。而当对方回应ACK 报文后,则进入到FIN_WAIT_2状态,当然在实际的正常情况 下,无论对方何种情况下,都应该马上回应ACK报文,所以FIN_WAIT_1状态一般是比较难见到的,而FIN_WAIT_2 状态还有时常常可以用 netstat看到。
CLOSE_WAIT: 这种状态的含义其实是表示在等待关闭。当对方close一个SOCKET后发送FIN报文给自己,你系统毫无疑问地会回应一个ACK报文给对方,此时则进入到CLOSE_WAIT状态。接下来呢,实际上你真正需要考虑的事情是察看你是否还有数据发送给对方,如果没有的话,
那么你也就可以close 这个SOCKET,发送 FIN 报文给对方,也即关闭连接。所以你在CLOSE_WAIT 状态下,是等待你去关闭连接。
FIN_WAIT_2:上面已经详细解释了这种状态,实际上FIN_WAIT_2 状态下的SOCKET,表示半连接,也即有一方要求close 连接,但另外还告诉对方,我暂时还有点数据需要传送给你,稍后再关闭连接。
LAST_ACK: 是被动关闭一方在发送FIN报文后,最后等待对方的ACK报文。当收到ACK报文后,也即可以进入到CLOSED可用状态了
TIME_WAIT: 指连接已准备关闭。表示收到了对方的FIN报文,并发送出了ACK报文,就等2MSL后即可回到CLOSED可用状态了。如果FIN_WAIT_1状态下,收到了对方同时带FIN标志和ACK标志的报文时,可以直接进入到TIME_WAIT状态,而无须经过FIN_WAIT_2
状态。
-----------------------------------------------------------------------------------------------------------------------------------------
netstat -b 显示在创建每个连接或侦听端口时涉及的可执行程序,需要管理员权限,
这条指令对于查找可疑程序非常有帮助。
$ netstat -b 活动连接 协议 本地地址 外部地址 状态 TCP 10.41.10.89:1666 123.150.197.207:http CLOSE_WAIT [IcbcDaemon.exe] TCP 10.41.10.89:2041 221.176.31.1:8080 ESTABLISHED [Fetion.exe] TCP 10.41.10.89:2658 nrt19s11-in-f7:http ESTABLISHED [chrome.exe] TCP 10.41.10.89:2667 10.87.51.188:8014 SYN_SENT [Smc.exe]
netstat -n -o
-n 以数字形式显示地址和端口号。
-o 显示拥有的与每个连接关联的进程 ID。
$ netstat -n -o 活动连接 协议 本地地址 外部地址 状态 PID TCP 10.41.10.89:1666 123.150.197.207:80 CLOSE_WAIT 1344 TCP 10.41.10.89:2041 221.176.31.1:8080 ESTABLISHED 4852 TCP 10.41.10.89:2750 10.87.51.188:8014 SYN_SENT 1584
netstat -s -p
-s 显示每个协议的统计。默认情况下,显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6的统计;-p 选项可用于指定默认的子网。
-p proto 显示 proto 指定的协议的连接;proto 可以是下列任何一个: TCP、UDP、TCPv6 或 UDPv6。如果与 -s 选项一起用来显示每个协议的统计,proto 可以是下列任
何一个: IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
$ netstat -s -p tcp IPv4 的 TCP 统计信息 主动开放 = 1732 被动开放 = 10 失败的连接尝试 = 158 重置连接 = 128 当前连接 = 2 接收的分段 = 20486 发送的分段 = 19208 重新传输的分段 = 1750 活动连接 协议 本地地址 外部地址 状态 TCP 10.41.10.89:1666 123.150.197.207:http CLOSE_WAIT TCP 10.41.10.89:2041 221.176.31.1:8080 ESTABLISHED TCP 10.41.10.89:2763 bogon:8014 SYN_SENT $ netstat -s -p udp IPv4 的 UDP 统计信息 接收的数据报 = 1998 无端口 = 283 接收错误 = 3419 发送的数据报 = 3866 活动连接 协议 本地地址 外部地址 状态
http://www.cnblogs.com/vigarbuaa/archive/2012/03/07/2383064.html
相关文章推荐
- C#获取网络时间(初学者)
- Ubuntu 的网络配置文件
- httpClient 带验证码登录实现
- HTTP协议与HTTPS的区别
- android textView 加载HTML 异步加载网络图片
- 实现网络打印工具类
- 网络基础配置
- 网络基础配置
- Linux下配置网络
- rails 网络接口模块
- 常用的http/1.0中状态吗的含义
- IIS 8.0~10.0 详细错误 - HTTP 错误 401.2 - Unauthorized 解决方法
- Android 你必须了解的网络框架Retrofit2.0
- Requests:让 HTTP 服务人类
- 《TCP/IP详解 卷1:协议》 读书笔记 第20章 TCP的成块数据流
- wireshark抓包图解 TCP三次握手/四次挥手详解
- JSP报错:The superclass "javax.servlet.http.HttpServlet" was not found on the Java Build Path"
- https原理及tomcat配置https方法
- okhttputils使用(zhuan)
- http://www.chengxuyuan.com/post/1838.html?ref=myread