幕雪

ubuntu查看端口占用是什么、为什么、如何查看与管理实践


是什么与为什么:理解端口占用及其重要性

在Ubuntu或任何Linux系统中,”查看端口占用”是指检查系统中哪些网络端口正被哪些程序或服务使用。一个端口(Port)可以理解为网络通信的入口或出口,它与一个特定的IP地址结合,唯一标识了网络上的一个通信端点。当一个程序或服务需要在网络上接收数据时,它通常会“监听”(Listen)在一个特定的端口上,等待传入的连接或数据包。

“端口占用”意味着某个程序已经在监听该端口,使得其他需要使用同一端口进行监听的程序无法启动。

为什么需要查看端口占用?

查看端口占用是一项非常常见的系统管理和故障排查任务。其主要原因包括:

  • 服务启动失败: 当你尝试启动一个网络服务(如Web服务器Nginx/Apache、数据库服务MySQL/PostgreSQL、SSH服务等)时,如果它所需的默认端口已经被其他程序占用,服务会启动失败并报告“Address already in use”或类似的错误。你需要找出是哪个程序占用了端口,然后决定是停止占用者、更换新服务的端口,还是同时运行(如果可能且配置允许)。
  • 网络故障排查: 当客户端无法连接到某个服务时,可能是服务没有运行,也可能是服务没有在预期的端口上监听,或者防火墙阻止了连接。查看端口占用可以确认服务是否正在监听预期的端口。
  • 安全检查: 检查是否有非预期的服务在监听端口,这可能表明系统被入侵或运行了恶意软件。定期审查开放的端口是重要的安全实践。
  • 性能监控: 了解哪些服务正在使用大量连接或活动端口,有助于理解系统负载。
  • 配置验证: 确认新部署或修改配置的服务是否成功绑定到了正确的端口。

信息来源:系统如何知道端口状态

Ubuntu(及其他Linux发行版)操作系统内核负责管理所有的网络连接和端口状态。当一个程序请求监听某个端口或发起一个网络连接时,这些信息都会被记录在内核的网络子系统中。

用于查看端口占用的命令行工具(如ssnetstatlsof)实际上是读取内核提供的接口来获取这些实时状态信息。在文件系统中,这些信息通常反映在/proc/net/目录下的文件中(例如/proc/net/tcp/proc/net/udp),但我们通常通过更友好的命令来解析这些信息,而不是直接读取这些原始文件。

端口数量:有多少端口以及规则

TCP和UDP协议的端口号是16位的无符号整数,因此每个协议都拥有从0到65535的总共65536个可能的端口。

  • 0-1023: 称为“周知端口”(Well-known Ports),通常用于系统关键或常用的服务,如HTTP (80), HTTPS (443), SSH (22), FTP (21), DNS (53)等。在Linux系统中,绑定这些端口通常需要root权限。
  • 1024-49151: 称为“注册端口”(Registered Ports),这些端口可以由应用程序注册使用。
  • 49152-65535: 称为“动态端口”或“私有端口”(Dynamic/Private Ports),通常由客户端应用程序发起连接时临时分配使用,或者用于一些非官方注册的服务。

关于端口占用的基本规则是:

在同一个IP地址上,同一时间只能有一个进程监听同一个端口和同一个协议类型(TCP或UDP)。 例如,如果一个进程正在监听192.168.1.100上的TCP端口80,那么其他进程就不能在同一个IP地址上监听TCP端口80。但是,另一个进程可以在192.168.1.100上监听UDP端口80,或者在192.168.1.101上监听TCP端口80,或者在192.168.1.100上监听TCP端口81。也有一些高级选项(如SO_REUSEPORT)允许在特定条件下多个进程监听同一个端口,但这需要应用程序的支持。

系统上正在使用的端口数量取决于运行的服务和建立的网络连接数量,可以从几个到几千个不等。

如何操作:使用命令行工具查看端口占用

在Ubuntu中,有几个强大的命令行工具可以用来查看端口占用情况。最常用且推荐的是ssnetstat,以及非常灵活的lsof

使用 ss 命令 (推荐)

ss(socket statistics)是一个较新的工具,旨在替代netstat。它通常更快,特别是在系统有大量网络连接时,因为它直接从内核空间获取信息。

查看所有监听中的TCP和UDP端口及其对应的进程:

命令:

sudo ss -tulnp

选项解释:

  • -t: 显示TCP连接
  • -u: 显示UDP连接
  • -l: 仅显示监听(Listening)状态的连接
  • -n: 以数字形式显示端口号和IP地址,而不是尝试解析服务名称或主机名(这会加快显示速度)
  • -p: 显示使用端口的进程的名称和PID (Requires root privileges, hence sudo)

示例输出片段解释:

Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
tcp LISTEN 0 128 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=780,fd=3))
tcp LISTEN 0 50 127.0.0.1:631 0.0.0.0:* users:(("cupsd",pid=850,fd=11))
tcp LISTEN 0 128 [::]:80 [::]:* users:(("nginx",pid=1234,fd=6))
udp UNCONN 0 0 0.0.0.0:68 0.0.0.0:* users:(("dhclient",pid=900,fd=6))

输出中可以看到协议类型(Netid)、连接状态(State,LISTEN表示正在监听)、本地地址和端口(Local Address:Port)、远程地址和端口(Peer Address:Port,*表示接受来自任意地址)、以及使用该端口的进程信息(Process,显示程序名、PID和文件描述符fd)。

过滤特定端口

如果你想查看特定端口(例如80端口)是否被占用,可以使用grep命令过滤ss的输出:

命令:

sudo ss -tulnp | grep :80

这会显示所有本地端口号为80的监听连接。

过滤特定协议

只想看TCP监听端口:

命令:

sudo ss -ltnp

只想看UDP监听端口:

命令:

sudo ss -lunp

查看所有连接 (不仅仅是监听)

要查看所有网络连接(包括监听、已建立、等待关闭等状态),只需移除-l选项:

命令:

sudo ss -tunp

这对于排查客户端连接问题或查看某个服务有多少活跃连接非常有用。

查找使用某个端口的进程ID (PID)

ss -p选项直接在输出中提供了进程信息。如果你只需要PID,或者想将PID用于后续的ps命令以获取更多进程详情,可以直接从ss输出中提取。

例如,找到监听80端口的进程PID:

命令:

sudo ss -tulnp | grep :80

从输出的Process列中找到PID,假设PID是1234,然后查看进程详情:

命令:

ps aux | grep 1234
或者更精确地:
ps -p 1234 -o user,pid,cmd

使用 netstat 命令 (经典)

netstat(network statistics)是另一个历史悠久的命令,功能与ss类似,虽然在大型系统上可能较慢。它仍然广泛使用。

查看所有监听中的TCP和UDP端口及其对应的进程:

命令:

sudo netstat -tulnp

选项解释: (与ss类似)

  • -t: 显示TCP连接
  • -u: 显示UDP连接
  • -l: 仅显示监听(Listening)状态的连接
  • -n: 以数字形式显示端口号和IP地址
  • -p: 显示使用端口的进程的名称和PID (Requires root privileges, hence sudo)

示例输出片段解释:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 780/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 850/cupsd
tcp6 0 0 :::80 :::* LISTEN 1234/nginx
udp 0 0 0.0.0.0:68 0.0.0.0:* 900/dhclient

输出内容与ss类似,显示协议(Proto)、本地地址和端口(Local Address)、外部地址和端口(Foreign Address)、状态(State)、以及PID和程序名(PID/Program name)。

过滤特定端口

使用grep过滤特定端口,例如22端口:

命令:

sudo netstat -tulnp | grep :22

过滤特定协议

只看TCP监听端口:

命令:

sudo netstat -ltnp

查看所有连接

移除-l选项:

命令:

sudo netstat -tunp

使用 lsof 命令

lsof(list open files)是一个非常强大的工具,它不仅仅用于网络,还能列出系统打开的所有文件(包括普通文件、目录、块设备、字符设备、库文件、进程文本、以及网络socket)。

使用lsof查看特定端口是否被占用:

命令:

sudo lsof -i :

例如,查看80端口:

sudo lsof -i :80

选项解释:

  • -i: 过滤网络文件(internet addresses)
  • :: 指定要查找的端口号

示例输出片段:

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
nginx 1234 root 6u IPv4 12345 0t0 TCP *:http (LISTEN)
nginx 1234 root 7u IPv6 12346 0t0 TCP *:http (LISTEN)

输出显示了使用该端口的命令名(COMMAND)、PID、用户(USER)、文件描述符(FD)、类型(TYPE,IPv4或IPv6)、设备号、节点号、以及网络文件的名称(NAME,包括本地IP:端口和连接状态)。

使用 lsof 过滤协议或状态

查看监听状态的TCP 80端口:

命令:

sudo lsof -i tcp:80 -sTCP:LISTEN

查看所有监听中的端口:

命令:

sudo lsof -i -P -n | grep LISTEN

这里的-P选项是避免尝试解析端口号为服务名,-n避免解析IP地址为主机名,这同样能加速命令执行并提供数字信息。

总结与排错思路

掌握ssnetstatlsof这几个命令是进行Ubuntu系统网络故障排查和管理的必备技能。

当你遇到服务启动时提示端口被占用的问题:

  1. 确定服务需要使用的端口号。
  2. 使用sudo ss -tulnp | grep :sudo netstat -tulnp | grep :sudo lsof -i : 查找占用该端口的进程。
  3. 根据命令输出找到占用进程的PID和程序名。
  4. 分析该进程:它是什么服务?为什么会运行并占用此端口?
  5. 决定如何处理:如果是你不需要的服务,使用sudo systemctl stop kill 停止它;如果是需要的服务但配置错误,检查其配置;如果两个服务都需要运行在同端口(不常见),考虑修改其中一个的端口号,或者查找是否支持端口共享的高级配置。

当你怀疑系统端口开放异常(安全):

  1. 使用sudo ss -tulnpsudo netstat -tulnp 查看所有监听中的端口。
  2. 逐个检查列表中非预期的端口。
  3. 对于可疑的端口,记录其PID和程序名。
  4. 使用ps aux | grep 或其他进程查看工具,结合系统日志,深入分析该进程的来源、行为和目的。

这些工具是你在Ubuntu系统中洞察网络状态、定位端口冲突和服务问题的眼睛。熟练使用它们将极大地提高你的系统管理效率。


ubuntu查看端口占用