lsof(查看端口)
简介
简介
lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。
命令语法
语法:
$ lsof (选项)
选项:
| 选项 | 描述 |
|---|---|
| -a | 列出打开文件存在的进程; |
| -c<进程名> | 列出指定进程所打开的文件; |
| -g | 列出GID号进程详情; |
| -d<文件号> | 列出占用该文件号的进程; |
| +d<目录> | 列出目录下被打开的文件; |
| +D<目录> | 递归列出目录下被打开的文件; |
| -n<目录> | 列出使用NFS的文件; |
| -i<条件> | 列出符合条件的进程。(4、6、协议、:端口、 @ip ) |
| -p<进程号> | 列出指定进程号所打开的文件; |
| -u | 列出UID号进程详情; |
| -h | 显示帮助信息; |
| -v | 显示版本信息。 |
输出信息含义
在终端下输入lsof即可显示系统打开的文件,因为 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。
直接输入lsof部分输出为:
$ lsof
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
init 1 root cwd DIR 8,1 4096 2 /
init 1 root rtd DIR 8,1 4096 2 /
init 1 root txt REG 8,1 150584 654127 /sbin/init
udevd 415 root 0u CHR 1,3 0t0 6254 /dev/null
udevd 415 root 1u CHR 1,3 0t0 6254 /dev/null
udevd 415 root 2u CHR 1,3 0t0 6254 /dev/null
udevd 690 root mem REG 8,1 51736 302589 /lib/x86_64-linux-gnu/libnss_files-2.13.so
syslogd 1246 syslog 2w REG 8,1 10187 245418 /var/log/auth.log
syslogd 1246 syslog 3w REG 8,1 10118 245342 /var/log/syslog
dd 1271 root 0r REG 0,3 0 4026532038 /proc/kmsg
dd 1271 root 1w FIFO 0,15 0t0 409 /run/klogd/kmsg
dd 1271 root 2u CHR 1,3 0t0 6254 /dev/null
lsof输出各列信息的意义如下:
COMMAND:进程的名称
PID:进程标识符
USER:进程所有者
FD:文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等 TYPE:文件类型,如DIR、REG等
TYOE:文件类型
DEVICE:指定磁盘的名称
SIZE:文件的大小
NODE:索引节点(文件在磁盘上的标识)
NAME:打开文件的确切名称
FD文件描述符列表
- cwd:表示current work dirctory,即:应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改
- txt:该类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的 /sbin/init 程序
- lnn:library references (AIX)(库引用);
- er:FD information error (see NAME column)(fd信息错误);
- jld:jail directory (FreeBSD)(监控目录);
- ltx:shared library text (code and data)(共享库文本);
- mxx :hex memory-mapped type number xx(十六进制内存映射类型号xx);
- m86:DOS Merge mapped file(DOS合并映射文件);
- mem:memory-mapped file(内存映射文件);
- mmap:memory-mapped device(内存映射设备);
- pd:parent directory(父目录);
- rtd:root directory(跟目录);
- tr:kernel trace file (OpenBSD)(内核跟踪文件);
- v86 VP/ix mapped file(VP/IX映射文件);
- 0:表示标准输出
- 1:表示标准输入
- 2:表示标准错误
文件类型:
- DIR:表示目录。
- CHR:表示字符类型。
- BLK:块设备类型。
- UNIX: UNIX 域套接字。
- FIFO:先进先出 (FIFO) 队列。
- IPv4:网际协议 (IP) 套接字。
- DEVICE:指定磁盘的名称
- SIZE:文件的大小
- NODE:索引节点(文件在磁盘上的标识)
- NAME:打开文件的确切名称
一般在标准输出、标准错误、标准输入后还跟着文件状态模式:
- u:表示该文件被打开并处于读取/写入模式。
- r:表示该文件被打开并处于只读模式。
- w:表示该文件被打开并处于。
- 空格:表示该文件的状态模式为unknow,且没有锁定。
- -:表示该文件的状态模式为unknow,且被锁定。
同时在文件状态模式后面,还跟着相关的锁:
- N:for a Solaris NFS lock of unknown type(对于未知类型的Solaris NFS锁);
- r:for read lock on part of the file(用于对文件的一部分进行读取锁定);
- R:for a read lock on the entire file(整个文件的读取锁定);
- w:for a write lock on part of the file;(文件的部分写锁)
- W:for a write lock on the entire file;(整个文件的写锁)
- u:for a read and write lock of any length(对于任意长度的读写锁);
- U:for a lock of unknown type(对于未知类型的锁);
- x:for an SCO OpenServer Xenix lock on part of the file(对于文件的sco openserver xenix锁);
- X:for an SCO OpenServer Xenix lock on the entire file(对于整个文件的sco openserver xenix锁);
- space:if there is no lock(如果没有锁).
常用方法
#列出所有打开的文件:
lsof
备注: 如果不加任何参数,就会打开所有被打开的文件,建议加上一下参数来具体定位
# 查看谁正在使用某个文件
lsof /filepath/file
#递归查看某个目录的文件信息
lsof +D /filepath/filepath2/
备注: 使用了+D,对应目录下的所有子目录和文件都会被列出
# 比使用+D选项,遍历查看某个目录的所有文件信息 的方法
lsof | grep ‘/filepath/filepath2/’
# 列出某个用户打开的文件信息
lsof -u username
备注: -u 选项,u其实是user的缩写
# 列出某个程序所打开的文件信息
lsof -c mysql
备注: -c 选项将会列出所有以mysql开头的程序的文件,其实你也可以写成lsof | grep mysql,但是第一种方法明显比第二种方法要少打几个字符了
# 列出多个程序多打开的文件信息
lsof -c mysql -c apache
# 列出某个用户以及某个程序所打开的文件信息
lsof -u test -c mysql
# 列出除了某个用户外的被打开的文件信息
lsof -u ^root
备注:^这个符号在用户名之前,将会把是root用户打开的进程不让显示
# 通过某个进程号显示该进行打开的文件
lsof -p 1
# 列出多个进程号对应的文件信息
lsof -p 123,456,789
# 列出除了某个进程号,其他进程号所打开的文件信息
lsof -p ^1
# 列出所有的网络连接
lsof -i
# 列出所有tcp 网络连接信息
lsof -i tcp
# 列出所有udp网络连接信息
lsof -i udp
# 列出谁在使用某个端口
lsof -i :3306
# 列出谁在使用某个特定的udp端口
lsof -i udp:55
# 特定的tcp端口
lsof -i tcp:80
# 列出某个用户的所有活跃的网络端口
lsof -a -u test -i
# 列出所有网络文件系统
lsof -N
#域名socket文件
lsof -u
#某个用户组所打开的文件信息
lsof -g 5555
# 根据文件描述列出对应的文件信息
lsof -d description(like 2)
# 根据文件描述范围列出文件信息
lsof -d 2-3
命令详解
关键选项
usage: [-?abhlnNoOPRtUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]]
[-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+|-M] [-o [o]] [-p s]
[+|-r [t]] [-s [p:s]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]
理解一些关于lsof如何工作的关键性东西是很重要的。最重要的是,当你给它传递选项时,默认行为是对结果进行“或”运算。因此,如果你正是用-i来拉出一个端口列表,同时又用-p来拉出一个进程列表,那么默认情况下你会获得两者的结果。
下面的一些其它东西需要牢记:
默认 : 没有选项,lsof列出活跃进程的所有打开文件
组合 : 可以将选项组合到一起,如-abc,但要当心哪些选项需要参数
-a : 结果进行“与”运算(而不是“或”)
-l : 在输出显示用户ID而不是用户名
-h : 获得帮助
-t : 仅获取进程ID
-U : 获取UNIX套接口地址
-F : 格式化输出结果,用于其它命令。可以通过多种方式格式化,如-F pcfn(用于进程id、命令名、文件描述符、文件名,并以空终止)
获取网络信息
使用-i显示所有连接
有些人喜欢用netstat来获取网络连接,但是我更喜欢使用lsof来进行此项工作。结果以对我来说很直观的方式呈现,我仅仅只需改变我的语法,就可以通过同样的命令来获取更多信息。
语法: lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
1. $ lsof -i
2. COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
3. dhcpcd 6061 root 4u IPv4 4510 UDP *:bootpc
4. sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
5. sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)
使用-i 6仅获取IPv6流量
$ lsof -i 6
仅显示-iTCP连接(同理可获得UDP连接)
$ lsof -iTCP
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rapportd 249 alon 3u IPv4 0xbf4f51b061be171d 0t0 TCP *:62740 (LISTEN)
rapportd 249 alon 4u IPv6 0xbf4f51b0709f2fdd 0t0 TCP *:62740 (LISTEN)
rapportd 249 alon 10u IPv4 0xbf4f51b06aaa1d9d 0t0 TCP alon-mbp:62740->alon:51824 (ESTABLISHED)
使用-i:port来显示与指定端口相关的网络信息
或者,你也可以通过端口搜索,这对于要找出什么阻止了另外一个应用绑定到指定端口实在是太棒了。
$ lsof -i:8080
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
nginx 442 alon 7u IPv4 0xbf4f51b06b5f071d 0t0 TCP *:http-alt (LISTEN)
nginx 474 alon 7u IPv4 0xbf4f51b06b5f071d 0t0 TCP *:http-alt (LISTEN)
使用-i@host来显示指定到指定主机的连接
这对于你在检查是否开放连接到网络中或互联网上某个指定主机的连接时十分有用。
$ lsof -i@192.168.1.3 //ssh服务器地址
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
ssh 13971 alon 3u IPv4 0xbf4f51b065af171d 0t0 TCP alon-mbp:63001->redminote5a-hongmish:ssh (ESTABLISHED)
使用-i@host:port显示基于主机与端口的连接
你也可以组合主机与端口的显示信息。
$ lsof -i@192.168.1.3:22 //ssh服务器地址
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
ssh 13971 alon 3u IPv4 0xbf4f51b065af171d 0t0 TCP alon-mbp:63001->redminote5a-hongmish:ssh (ESTABLISHED)
找出监听端口
找出正等候连接的端口。
$ lsof -i -sTCP:LISTEN
你也可以grep “LISTEN”来完成该任务。
$ lsof -i | grep -i LISTEN
iTunes 400 daniel 16u IPv4 0x4575228 0t0 TCP *:daap (LISTEN)
找出已建立的连接
你也可以显示任何已经连接的连接。
$ lsof -i -sTCP:ESTABLISHED
你也可以通过grep搜索“ESTABLISHED”来完成该任务。
$ lsof -i | grep -i ESTABLISHED
firefox-b 169 daniel 49u IPv4 0t0 TCP 1.2.3.3:1863->1.2.3.4:http (ESTABLISHED)
用户信息
你也可以获取各种用户的信息,以及它们在系统上正干着的事情,包括它们的网络活动、对文件的操作等。
使用-u显示指定用户打开了什么
$ lsof -u alon
Dock 258 alon cwd DIR 1,4 960 2 /
Dock 258 alon txt REG 1,4 5468560 12885166254 /System/Library/CoreServices/Dock.app/Contents/MacOS/Dock
Dock 258 alon txt REG 1,4 65556 12892552336 /Library/Caches/com.apple.iconservices.store/822428C4-1B74-4D07-3A23-9F4D9799678E.isdata
Dock 258 alon txt REG 1,4 21104 12895185769 /Library/Preferences/Logging/.plist-cache.BdSX1osv
Dock 258 alon txt REG 1,4 27154336 12885622695 /usr/share/icu/icudt62l.dat
Dock 258 alon txt REG 1,4 239648 12887956801 /private/var/db/timezone/tz/2019c.1.0/icutz/icutz44l.dat
Dock 258 alon txt REG 1,4 21960 12894991454 /Library/Application Support/CrashReporter/SubmitDiagInfo.domains
Dock 258 alon txt REG 1,4 4116 12892587129 /Library/Caches/com.apple.iconservices.store/54ADF811-CE68-A6FB-3ADC-D61EF5134EEB.isdata
使用-u ^ user来显示除指定用户以外的其它所有用户所做的事情
$ lsof -u ^alon
Dock 258 root cwd DIR 1,4 960 2 /
Dock 258 root txt REG 1,4 5468560 12885166254 /System/Library/CoreServices/Dock.app/Contents/MacOS/Dock
杀死指定用户所做的一切事情
可以消灭指定用户运行的所有东西,这真不错。
$ kill -9 `lsof -t -u daniel`
命令和进程
可以查看指定程序或进程由什么启动,这通常会很有用,而你可以使用lsof通过名称或进程ID过滤来完成这个任务。下面列出了一些选项:
使用-c查看指定的命令正在使用的文件和网络连接
$ lsof -c syslog-ng
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslog-ng 7547 root cwd DIR 3,3 4096 2 /
syslog-ng 7547 root rtd DIR 3,3 4096 2 /
syslog-ng 7547 root txt REG 3,3 113524 1064970 /usr/sbin/syslog-ng
-- snipped --
使用-p查看指定进程ID已打开的内容
$ lsof -p 10075
3. -- snipped --
4. sshd 10068 root mem REG 3,3 34808 850407 /lib/libnss_files-2.4.so
5. sshd 10068 root mem REG 3,3 34924 850409 /lib/libnss_nis-2.4.so
6. sshd 10068 root mem REG 3,3 26596 850405 /lib/libnss_compat-2.4.so
7. sshd 10068 root mem REG 3,3 200152 509940 /usr/lib/libssl.so.0.9.7
8. sshd 10068 root mem REG 3,3 46216 510014 /usr/lib/liblber-2.3
9. sshd 10068 root mem REG 3,3 59868 850413 /lib/libresolv-2.4.so
10. sshd 10068 root mem REG 3,3 1197180 850396 /lib/libc-2.4.so
11. sshd 10068 root mem REG 3,3 22168 850398 /lib/libcrypt-2.4.so
12. sshd 10068 root mem REG 3,3 72784 850404 /lib/libnsl-2.4.so
13. sshd 10068 root mem REG 3,3 70632 850417 /lib/libz.so.1.2.3
14. sshd 10068 root mem REG 3,3 9992 850416 /lib/libutil-2.4.so
15. -- snipped --
-t选项只返回PID
$ lsof -t -c Mail
350
文件和目录
通过查看指定文件或目录,你可以看到系统上所有正与其交互的资源——包括用户、进程等。
显示与指定目录交互的所有一切
$ lsof /var/log/messages/
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslog-ng 7547 root 4w REG 3,3 217309 834024 /var/log/messages
显示与指定文件交互的所有一切
$ lsof /home/daniel/firewall_whitelist.txt
高级用法
与tcpdump类似,当你开始组合查询时,它就显示了它强大的功能。
显示alon连接到1.1.1.1所做的一切
$ lsof -u daniel -i @1.1.1.1
bkdr 1893 daniel 3u IPv6 3456 TCP 10.10.1.10:1234->1.1.1.1:31337 (ESTABLISHED)
同时使用-t和-c选项以给进程发送 HUP 信号
$ kill -HUP `lsof -t -c sshd`
lsof +L1显示所有打开的链接数小于1的文件
这通常(当不总是)表示某个攻击者正尝试通过删除文件入口来隐藏文件内容。
$ lsof +L1
(hopefully nothing)
显示某个端口范围的打开的连接
$ lsof -i @fw.google.com:2150=2180
