Theo dõi dịch vụ mạng đang chạy trong Linux -

1. Sử dụng lệnh netstat

• netstat -a46 → Hiển thị tất cả kết nối (all states) trên IPv4 (-4) và IPv6 (-6).

• netstat -lt → Hiển thị các cổng TCP đang ở trạng thái LISTEN.

• netstat -lun → Hiển thị các cổng UDP đang ở trạng thái LISTEN, đồng thời dùng -n để hiển thị dạng số (IP/port thay vì tên dịch vụ).

• sudo netstat -atnp → Hiển thị tất cả kết nối TCP, kèm PID và tên tiến trình đang lắng nghe cổng (-p).

• Proto: Giao thức (TCP/UDP).

• Recv-Q / Send-Q: Byte chờ xử lý (thường =0, nếu tồn đọng nhiều → có thể bất thường).

• Local Address: Địa chỉ/cổng trên host cục bộ. 0.0.0.0 nghĩa là lắng nghe trên mọi interface, 127.0.0.1 chỉ cho phép local.

• Foreign Address: Host/port bên ngoài. Nếu là * nghĩa là đang chờ kết nối.

• State: Trạng thái kết nối (LISTEN, ESTABLISHED, SYN_SENT, CLOSE_WAIT...).

• PID/Program name: Tiến trình quản lý cổng.

2. Sử dụng lệnh lsof

• sudo lsof -i → Liệt kê tất cả file liên quan đến địa chỉ Internet.

• sudo lsof -i tcp:80 → Liệt kê tiến trình sử dụng TCP port 80.

• sudo lsof -i udp:53 -P → Hiển thị tiến trình dùng UDP port 53 (DNS), với port dạng số.

• sudo lsof -i @192.168.222.1:21 -P → Liệt kê tiến trình có kết nối đến địa chỉ/port chỉ định.

• Command: Tên tiến trình.

• PID: ID tiến trình.

• User: User chạy tiến trình.

• FD: File Descriptor (socket liên quan).

• Type: Loại (IPv4/IPv6, TCP/UDP).

• Name: Chi tiết kết nối (IP:port nguồn → IP:port đích + trạng thái).