在进行网络问题排查、服务状态监控或容量规划时，查看 TCP 连接的状态分布是必不可少的一步。哪些连接仍处于活跃状态，哪些正在挥手关闭，哪些在排队等待——这些数字背后往往隐藏着性能瓶颈的线索。今天，我们来聊聊在 Linux 系统下，用什么命令来统计这些状态最为稳定、高效且准确。

如何用最稳的命令查看 TCP 各状态连接数

答案非常直接：ss -tn state all | awk '{print $NF}' | sort | uniq -c | sort -nr。这条命令组合堪称当前环境下的“黄金标准”。

它不仅比老牌的 netstat 更快、更准，而且无需依赖额外的网络工具包。命令的原理十分清晰：state all 确保抓取所有可能的 TCP 状态，无一遗漏；awk '{print $NF}' 精准提取每行的最后一列，即连接状态；最后经过排序和去重计数，sort -nr 会让像 ESTABLISHED、TIME_WAIT 这类高频状态自然排在最前面，结果一目了然。

使用时有几个常见陷阱需要注意。第一，千万不要省略 state all。有人图省事只写 ss -tn，但在某些内核版本下，默认输出可能只包含部分状态，导致统计不完整。第二，尽量避免使用 netstat -an | awk '/^tcp/ {print $6}' | sort | uniq -c 这类传统方法。当连接数达到万级甚至更高时，netstat 的解析会变得非常缓慢，CPU 占用也明显上升，实时性大打折扣。

当然，如果你身处极简环境（比如某些 Alpine 基础容器），连 ss 命令都没有，还有最后的退路——直接读取内核的 /proc/net/tcp 文件。可以试试这个命令：awk '$4 ~ /^0[1-9A-F]$/ {++s[$4]} END {for (k in s) print k, s[k]}' /proc/net/tcp。其中 $4 列就是十六进制的状态码，例如 01 代表 ESTABLISHED，06 是 TIME_WAIT，0A 则是 LISTEN。不必死记硬背，记不住时可以用 man 7 tcp 或搜索“linux tcp state hex”，对照表很快就出来了。

为什么不能仅用 netstat -na | grep established 统计 ESTABLISHED 连接数

这个问题看似简单，却坑了不少运维新手。原因主要有两个：大小写敏感和模糊匹配。

首先，grep established 默认区分大小写。而不同内核版本或网络工具的输出格式并不统一，状态字段可能是全大写的“ESTABLISHED”，也可能是全小写的“established”。只用一种写法去过滤，另一半数据就会被漏掉。

其次，grep 是行级文本匹配。如果某行日志里包含了“established_time”这样的字段，或者输出中有其他干扰列，它也会被一并抓取，导致统计数字虚高。

因此，正确的做法是进行精确锁定：

• 使用 ss 的原生过滤语法：ss -tn state established | wc -l。这是最推荐的方式，state established 由 ss 命令内部处理，不涉及文本匹配，既快又准。
• 如果非要用 netstat，那就用 awk 精确匹配列：netstat -tn | awk '$6 == "ESTABLISHED" {++n} END {print n+0}'。这里指定只统计第六列等于“ESTABLISHED”的行，完美避免大小写和字段偏移的问题。

另外提醒一点，千万别用 netstat -l 来查活跃连接，那个“-l”参数是列出监听端口，与已经建立好的 ESTABLISHED 连接完全是两码事。

按端口或 IP 统计 TCP 连接分布：sport 和 dport 千万别搞反

这是另一个高频出错点，关键在于分清“源端口”和“目标端口”的视角。

简单来说：sport (source port) 指的是连接发起方的端口，dport (destination port) 指的是连接接收方的端口。当你站在服务器角度，想查看“有多少客户端连接到了我的80端口”，你应该关心的是 sport :80（因为对服务器而言，客户端源端口是随机的，但目标端口是固定的80）。相反，如果你想知道“我的服务器主动向外发起了多少到别人80端口的连接”，那才应该用 dport :80。

很多人搞反了，想查 Web 服务负载，却用了 ss -tn dport :80，结果统计了一堆本机作为客户端去访问其他网站80端口的数据，完全偏离了目标。

几个实用的命令组合：

• 查本机80端口上的活跃连接数：ss -tn state established sport :80 | wc -l
• 查哪个远程IP连接本机80端口最频繁：ss -tn state established sport :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -10
• 排除IPv6地址干扰：在上面的命令中加上 grep -v '\[.*\]' 过滤掉IPv6即可。

注意，ss 输出中第五列格式是“IP:端口”，所以用 cut -d: -f1 来剥离端口号，只留下IP。如果服务器绑定了多个IP，想针对某个特定IP进行统计，可以使用 ss -tn dst 192.168.1.100:80 来限定目标地址。

高并发场景下统计不准或卡顿？优先使用 ss 并减少管道层级

当系统承载数万甚至更多并发连接时，统计命令本身的性能就成了关键瓶颈。经典的 netstat -an | grep ESTABLISHED | wc -l 可能会卡住好几秒，因为 netstat 需要遍历并解析所有套接字信息，开销巨大。相比之下，ss 直接从内核的套接字表读取结构化数据，效率通常高出3到5倍。

要进一步提升统计效率，记住两个优化原则：

1. 减少不必要的管道和命令。避免像 ss -tn | grep established | grep :80 | wc -l 这样的多层 grep 套娃。直接用 ss 的原生过滤：ss -tn state established sport :80 | wc -l，一步到位。
2. 合并文本处理步骤。不要用 awk '{print $5}' | awk -F: '{print $1}' 这种连续切割，完全可以在一次 awk 中完成：awk '{split($5,a,":"); print a[1]}'。

对于需要实时监控的场景，也别再用 watch -n1 'netstat -an | grep ESTABLISHED | wc -l' 了，换成 watch -n1 'ss -tn state established | wc -l'，系统压力会小很多。

最后，值得关注的状态不只是 ESTABLISHED。大量堆积的 TIME_WAIT 连接虽然不算活跃负载，但会占用文件描述符，可能影响新连接的建立。单独检查它用 ss -tn state time-wait | wc -l。如果数字过高，别光盯着统计命令，更要看看系统参数，比如 sysctl net.ipv4.tcp_tw_reuse 是否开启了复用，从根源上思考解决方案。