A documentação está disponível no pacote Debian 9, mas foi removida em versões posteriores porque estava desatualizada. A página de manual deve ser a documentação completa agora. (Mas não tem muito a dizer sobre os detalhes dos filtros.)

       FILTER := [ state STATE-FILTER ] [ EXPRESSION ]
              Please take a look at the official documentation for details regarding filters.

STATE-FILTER
       STATE-FILTER allows to construct arbitrary set of states to match. Its syntax is sequence of keywords state and  exclude  fol‐
       lowed by identifier of state.

       Available identifiers are:

              All  standard TCP states: established, syn-sent, syn-recv, fin-wait-1, fin-wait-2, time-wait, closed, close-wait, last-
              ack, listening and closing.

              all - for all the states

              connected - all the states except for listening and closed

              synchronized - all the connected states except for syn-sent

              bucket - states, which are maintained as minisockets, i.e.  time-wait and syn-recv

              big - opposite to bucket
...

   ss -o state established '( dport = :ssh or sport = :ssh )'
          Display all established ssh connections.

   ss -o state fin-wait-1 '( sport = :http or sport = :https )' dst 193.233.7/24
          List all the tcp sockets in state FIN-WAIT-1 for our apache to network 193.233.7/24 and look at their timers.

Então

ss [options] [ FILTER ]

pode ser expandido para

ss [options] [ state STATE-FILTER ] [ EXPRESSION ]

onde estão as opções

[-hVHnraloempiKsZNb460tudwxS] [-f FAMILY] [-A QUERY] [-D FILE] [-D FILE]

FILTRO DE ESTADO é um dos

established, syn-sent, syn-recv, fin-wait-1, fin-wait-2, time-wait, closed, close-wait, last-ack, listening, closing, all, connected, synchronized, bucket, big

e podemos deduzir dos exemplos que EXPRESSION é uma lista de ip-rule SELECTOR s.

SELECTOR := [ not ] [ from PREFIX ] [ to PREFIX ] [ tos TOS ] [ fwmark FWMARK[/MASK] ] [ iif STRING ] [ oif STRING ] [ pref NUMBER ] [ l3mdev ] [ uidrange NUMBER-NUMBER ] [ ipproto PROTOCOL ] [ sport [ NUMBER | NUMBER-NUMBER ] ] [ dport [ NUMBER | NUMBER-NUMBER ] ] [ tun_id TUN_ID ]

Eu estava me perguntando a mesma coisa e as outras respostas e comentários fornecendo um link para a fonte foram incrivelmente úteis.

A FILTERsintaxe geral ainda é um pouco confusa, mas com base em um exemplo do Linode mostrando como verificar portas acima do intervalo seguro (raiz necessária) e a fonte, consegui montar um filtro "complexo" para verificar portas abertas em um intervalo específico.

Todos esses três exemplos são funcionalmente equivalentes:

ss -a -t '( dport geq :5900 and dport leq :5999 or sport geq :5900 and sport leq :5999 )'

ss -a -t '( dport >= :5900 and dport <= :5999 or sport >= :5900 and sport <= :5999 )'

ss -a -t '( dport >= :5900 & dport <= :5999 | sport >= :5900 & sport <= :5999 )'

Neste caso, a(s) porta(s) que estou procurando estão relacionadas ao VNC, porque as ferramentas Vagrant e Packer da Hashicorp (e as ferramentas de virtualização com as quais interagem como Virtualbox/VMware/libvirt) alocarão automaticamente portas nesse intervalo para máquinas iniciadas "sem cabeça" para que você possa interagir com o console da VM sem apenas enviar pressionamentos de tecla brutos.

A parte que me surpreendeu por um segundo foi que no código-fonte ele tem GEQe , LEQmas a sintaxe do filtro real exige que eles sejam minúsculos ou a representação simbólica >=ou <=, enquanto no código-fonte você pode ver que eqé definido como minúsculo.

A outra coisa sorrateira/confusa é que e =todos trabalham para a igualdade.eq==

Isso pode ajudar

https://www.apt-browse.org/browse/ubuntu/trusty/main/all/iproute2-doc/3.12.0-2/file/usr/share/doc/iproute2-doc/ss.html

Utilitário SS: introdução rápida

Alexey Kuznetosv,[email protected]

1. Por quê?

/procinterface é inadequada, infelizmente. Quando a quantidade de soquetes é grande o suficiente, netstatou mesmo simples, cat /proc/net/tcp/não causa nada além de dores e maldições. No linux-2.4 a doença piorou: mesmo que a quantidade de soquetes seja pequena, a leitura /proc/net/tcp/é lenta o suficiente.

Este utilitário apresenta uma nova abordagem, que deve ser bem dimensionada. Não vou descrever detalhes técnicos aqui e vou me concentrar na descrição do comando. A única coisa importante a dizer é que não é uma má ideia carregar o módulo tcp_diag, que pode ser encontrado no diretório Modulesde iproute2. Se você não fizer isso ss funcionará, mas voltará /proce ficará lento como netstat, bem, um pouco mais rápido ainda (consulte a seção "Alguns números").

2. Notícias antigas

Na forma mais simples ssé equivalente ao netstat com alguns pequenos desvios.

• ss -t -adespeja todos os soquetes TCP
• ss -u -adespeja todos os soquetes UDP
• ss -w -adespeja todos os soquetes RAW
• ss -x -adespeja todos os soquetes UNIX

A opção -omostra o estado dos temporizadores TCP. A opção -emostra algumas informações estendidas. Etc. etc. etc. Parece que todas as opções do netstat relacionadas a sockets são suportadas. Embora não AX.25 e outros bizarros. :-) Se alguém quiser, pode fazer suporte para decnet e ipx. Algum suporte rudimentar para eles já está presente no iproute2 libutils, e ficarei feliz em ver esses novos membros.

No entanto, a funcionalidade padrão é um pouco diferente:

O primeiro: sem soquetes opcionais -anos estados TIME-WAITe SYN-RECVtambém são ignorados. É um padrão mais razoável, eu acho.

A segunda: o formato dos soquetes UNIX é diferente. Coincide com tcp/udp. Embora o kernel padrão ainda não permita ver as filas de gravação/leitura e o endereço de peer dos soquetes UNIX conectados, o patch que faz isso existe.

O terceiro: o padrão é despejar apenas soquetes TCP, em vez de todos os tipos.

O próximo: por padrão, ele não resolve endereços de host numéricos (como ip)! A resolução é habilitada com a opção -r. Os nomes de serviço, geralmente armazenados em arquivos locais, são resolvidos por padrão. Além disso, se o banco de dados de serviço não contiver referências a uma porta, ssconsultará system rpcbind. Os serviços RPC são prefixados com A rpc. resolução de serviços pode ser suprimida com a opção -n.

Não aceita opções "longas" (não gosto delas, desculpe). Assim, a família de endereços é fornecida com o identificador da família seguindo a opção -fde ser alginada às convenções iproute2. Principalmente, é para permitir que o analisador de opções analise os endereços corretamente, mas como efeito colateral, ele realmente limita o despejo em soquetes que suportam apenas uma determinada família. A opção -Aseguida pela lista de tabelas de soquete para despejar também é suportada. Logicamente, o id da tabela de soquetes é diferente da família _address_, que é outro ponto de incompatibilidade. Então, id é um dos all, tcp, udp, raw, inet, unix, packet, netlink. Ver? Bem, ineté apenas a abreviação de tcp|udp|raw e não é difícil adivinhar quepacketpermite ver sockets de pacotes. Na verdade, existem também algumas outras abreviações, fe unix_dgramseleciona apenas soquetes UNIX de datagrama.

O próximo: bem, eu ainda não sei. :-)

3. Hora de falar sobre novas funcionalidades.

É uma filtragem interna de listas de soquetes.

3.1 Filtrando por estado.

sspermite filtrar estados de soquete, usando palavras-chave statee exclude, seguido por algum identificador de estado.

Identificador de estado são nomes de estado TCP padrão (não listados, eles são inúteis para você se você ainda não os conhece) ou abreviações:

• all - para todos os estados
• bucket - para minisockets TCP ( TIME-WAIT|SYN-RECV)
• big - todos, exceto minisockets
• connected - não fechado e não ouvindo
• synchronized- conectado e nãoSYN-SENT

Fe para despejar todos os soquetes tcp, exceto SYN-RECV:

   ss exclude SYN-RECV

Se nem statenem excludediretivas estiverem presentes, o filtro de estado assume como padrão allcom opção -a ou para all, excluindo escuta, syn-recv, time-wait e sockets fechados.

3.2 Filtrando por endereços e portas.

A lista de opções pode conter filtro de endereço/porta. É uma expressão booleana que consiste na operação booleana or, and, note predicados. Na verdade, todos os tipos de nomes para operações booleanas são consumidos: &, &&, |, ||, !, mas não se esqueça do sentido especial dado a esses símbolos por shells unix e escape deles corretamente, quando usados ​​a partir da linha de comando.

Os predicados podem ser dos seguintes tipos:

• A. Correspondência de endereço/porta, onde o endereço é verificado em relação à máscara e a porta é curinga ou exata. É um dos:

          dst prefix:port
          src prefix:port
          src unix:STRING
          src link:protocol:ifindex
          src nl:channel:pid
  

  Tanto o prefixo quanto a porta podem estar ausentes ou substituídos por *, o que significa curinga. O soquete UNIX usa uma correspondência de esquema mais poderosa para nomes de soquete por curingas de shell. Além disso, os prefixos unix: e link: podem ser omitidos, se a família de endereços for evidente no contexto (com opção -xou com -f unix ou com palavra- unixchave)

  Fe

          dst 10.0.0.1
          dst 10.0.0.1:
          dst 10.0.0.1/32:
          dst 10.0.0.1:*
  

  são equivalentes e soquete médio conectado a qualquer porta no host 10.0.0.1

          dst 10.0.0.0/24:22
  

  soquetes conectados à porta 22 na rede 10.0.0.0...255.

  Observe que a porta é separada do endereço por dois pontos, o que cria problemas com endereços IPv6. Geralmente, interpretamos os últimos dois pontos como porta de divisão. Para permitir fornecer endereços IPv6, truques como os usados ​​em URLs HTTP IPv6 podem ser usados:

        dst [::1]
  

  são soquetes conectados a ::1 em qualquer porta

  Outra maneira é dst ::1128/. / ajuda a entender que dois pontos fazem parte do endereço IPv6.

  Agora podemos adicionar outro alias para dst 10.0.0.1: dst [10.0.0.1]. :-)

  O endereço pode ser um nome DNS. Neste caso todos os endereços são procurados (em todas as famílias de endereços, se não estiver limitado por opção -f ou prefixo de endereço especial inet:, inet6) e a expressão resultante é orsobre todos eles.

• B. Expressões de porta:

        dport >= :1024
        dport != :22
        sport < :32000
  

  etc.

  Todas as relações: <, >, =, >=, =, ==, !=, eq, ge, lt, ne... Use a variante que você mais gosta, mas não esqueça de escapar caracteres especiais ao digitá-los na linha de comando. :-)

  Observe que o número da porta coincide sintaticamente com o caso A! Você pode até adicionar um endereço IP, mas ele não participará da comparação, exceto ==e !=, que são equivalentes aos predicados correspondentes do tipo AFe

  dst 10.0.0.1:22 é equivalente a dport eq 10.0.0.1:22 e not dst 10.0.0.1:22 é equivalente a dport neq 10.0.0.1:22

• C. Palavra-chave autobound. Ele corresponde aos soquetes vinculados automaticamente no sistema local.

4. Exemplos

• 1. Liste todos os soquetes tcp em estado FIN-WAIT-1para nosso apache na rede 193.233.7/24 e observe seus temporizadores:

     ss -o state fin-wait-1 \( sport = :http or sport = :https \) \
                            dst 193.233.7/24
  

  Ops, esqueci de dizer que a operação lógica ausente é equivalente a and.

• 2. Bem, agora olhe para o resto...

     ss -o excl fin-wait-1
     ss state fin-wait-1 \( sport neq :http and sport neq :https \) \
                         or not dst 193.233.7/24
  

  Observe que temos que fazer duas chamadas de ss para fazer isso. A correspondência de estado é sempre ligada à correspondência de endereço/porta. A razão para isso é puramente técnica: ss salta rapidamente de estados não correspondentes antes de analisar endereços e considero a capacidade de pular rapidamente gobs de soquetes time-wait e syn-recv como mais importante do que a generalidade lógica.

• 3. Então, vamos ver todos os nossos soquetes usando portas autobound:

     ss -a -A all autobound
  

• 4. E eventualmente encontre todos os processos locais conectados aos servidores X locais:

     ss -xp dst "/tmp/.X11-unix/*"
  

  Perdão, isso não funciona com o kernel atual, é necessário aplicar patches. Mas ainda podemos olhar para o lado do servidor:

     ss -x src "/tmp/.X11-unix/*"
  

5. Voltando ao solo: manual real

5.1 Argumentos de comando

O formato geral dos argumentos para ssé:

       ss [ OPTIONS ] [ STATE-FILTER ] [ ADDRESS-FILTER ]

OPTIONS

OPTIONSé uma lista de opções de uma única letra, usando convenções unix comuns.

• -h - mostrar página de ajuda
• -? - o mesmo, claro
• -v, -V - imprimir a versão sse sair
• -s - imprimir estatísticas de resumo. Esta opção não analisa listas de soquetes obtendo resumos de várias fontes. É útil quando a quantidade de soquetes é tão grande que a análise /proc/net/tcp é dolorosa.
• -D FILE - não exibe nada, apenas despeja informações brutas sobre soquetes TCP FILEapós a aplicação de filtros. Se FILEé - stdoutusado.
• -F FILE - leia a continuação do filtro de FILE. Cada linha de FILEé interpretada como uma única opção de linha de comando. Se FILEé - stdinusado.
• -r - tente resolver o endereço/portas numéricos
• -n - não tente resolver portas
• -o - mostrar algumas informações opcionais, fe temporizadores TCP
• -i - mostrar algumas informações específicas para TCP (RTO, janela de congestionamento, limite de início lento etc.)
• -e - mostrar ainda mais informações opcionais
• -m - show extended information on memory used by the socket. It is available only with tcp_diag enabled.
• -p - show list of processes owning the socket
• -f FAMILY - default address family used for parsing addresses. Also this option limits listing to sockets supporting given address family. Currently the following families are supported: unix, inet, inet6, link, netlink.
• -4 - alias for -f inet
• -6 - alias for -f inet6
• -0 - alias for -f link
• -A LIST-OF-TABLES - list of socket tables to dump, separated by commas. The following identifiers are understood: all, inet, tcp, udp, raw, unix, packet, netlink, unix_dgram, unix_stream, packet_raw, packet_dgram.
• -x - alias for -A unix
• -t - alias for -A tcp
• -u - alias for -A udp
• -w - alias for -A raw
• -a - show sockets of all the states. By default sockets in states LISTEN, TIME-WAIT, SYN_RECV and CLOSE are skipped.
• -l - show only sockets in state LISTEN

STATE-FILTER

STATE-FILTER allows to construct arbitrary set of states to match. Its syntax is sequence of keywords state and exclude followed by identifier of state. Available identifiers are:

• All standard TCP states: established, syn-sent, syn-recv, fin-wait-1, fin-wait-2, time-wait, closed, close-wait, last-ack, listen and closing.
• all - for all the states
• connected - all the states except for listen and closed
• synchronized - all the connected states except for syn-sent
• bucket - states, which are maintained as minisockets, i.e. time-wait and syn-recv.
• big - opposite to bucket

ADDRESS_FILTER

ADDRESS_FILTER is boolean expression with operations and, or and not, which can be abbreviated in C style f.e. as &, &&.

Predicates check socket addresses, both local and remote. There are the following kinds of predicates:

• dst ADDRESS_PATTERN - matches remote address and port
• src ADDRESS_PATTERN - matches local address and port
• dport RELOP PORT - compares remote port to a number
• sport RELOP PORT - compares local port to a number
• autobound - checks that socket is bound to an ephemeral port

RELOP is some of <=, >=, == etc. To make this more convinient for use in unix shell, alphabetic FORTRAN-like notations le, gt etc. are accepted as well.

The format and semantics of ADDRESS_PATTERN depends on address family.

• inet - ADDRESS_PATTERN consists of IP prefix, optionally followed by colon and port. If prefix or port part is absent or replaced with *, this means wildcard match.
• inet6 - The same as inet, only prefix refers to an IPv6 address. Unlike inet colon becomes ambiguous, so that ss allows to use scheme, like used in URLs, where address is suppounded with [ ... ].
• unix - ADDRESS_PATTERN is shell-style wildcard.
• packet - format looks like inet, only interface index stays instead of port and link layer protocol id instead of address.
• netlink - format looks like inet, only socket pid stays instead of port and netlink channel instead of address.

PORT is syntactically ADDRESS_PATTERN with wildcard address part. Certainly, it is undefined for UNIX sockets.

5.2 Environment variables

ss allows to change source of information using various environment variables:

• PROC_SLABINFO to override /proc/slabinfo
• PROC_NET_TCP to override /proc/net/tcp
• PROC_NET_UDP to override /proc/net/udp
• etc.

Variable PROC_ROOT allows to change root of all the /proc/ hierarchy.

Variable TCPDIAG_FILE prescribes to open a file instead of requesting kernel to dump information about TCP sockets.

This option is used mainly to investigate bug reports, when dumps of files usually found in /proc/ are recevied by e-mail.

5.3 Output format

Six columns. The first is Netid, it denotes socket type and transport protocol, when it is ambiguous: tcp, udp, raw, u_str is abbreviation for unix_stream, u_dgr for UNIX datagram sockets, nl for netlink, p_raw and p_dgr for raw and datagram packet sockets. This column is optional, it will be hidden, if filter selects an unique netid.

The second column is State. Socket state is displayed here. The names are standard TCP names, except for UNCONN, which cannot happen for TCP, but normal for not connected sockets of another types. Again, this column can be hidden.

Then two columns (Recv-Q and Send-Q) showing amount of data queued for receive and transmit.

And the last two columns display local address and port of the socket and its peer address, if the socket is connected.

If options -o, -e or -p were given, options are displayed not in fixed positions but separated by spaces pairs: option:value. If value is not a single number, it is presented as list of values, enclosed to ( ... ) and separated with commas. F.e.

   timer:(keepalive,111min,0)

is typical format for TCP timer (option -o).

   users:((X,113,3))

is typical for list of users (option -p).

6. Some numbers

Well, let us use pidentd and a tool ibench to measure its performance. It is 30 requests per second here. Nothing to test, it is too slow. OK, let us patch pidentd with patch from directory Patches. After this it handles about 4300 requests per second and becomes handy tool to pollute socket tables with lots of timewait buckets.

So, each test starts from pollution tables with 30000 sockets and then doing full dump of the table piped to wc and measuring timings with time:

Results:

• netstat -at - 15.6 seconds
• ss -atr, but without tcp_diag - 5.4 seconds
• ss -atr with tcp_diag - 0.47 seconds

No comments. Though one comment is necessary, most of time without tcp_diag is wasted inside kernel with completely blocked networking. More than 10 seconds, yes. tcp_diag does the same work for 100 milliseconds of system time.