Linux下端口如何分配

Posted 2023-05-16

参考技术A 我们知道建立一个socket连接进行网络通讯时需要四个元素client_ip:client_port<----->server_ip:server_port，socket绑定一个端口号用于标识进程。我一直好奇在linux平台上运行时进程的端口如何分配的？如何才能避免端口占用冲突？

要想了解这些答案需要先了解Linux下端口范围多少？如何修改端口范围？一个进程的端口如何分配的？最后了解linux系统下端口如何分配的？

1）查看端口范围：sysctl -a | grep range

2）修改端口范围：sysctl.conf

vi /etc/sysctl.conf

net.ipv4.ip_local_port_range=32788 60000

配置立即生效：sysctl -p

另外，端口范围不要超过1024  65535，1024以下系统使用，65535以上设置会提示失败。

程序的端口分配分为固定分配和自动分配两种。一套系统中固定端口是要进行规划的，比如ftp的端口为10021(控制连接时服务端的)，控制连接时客户端的端口就可以随机分配。ftp数据连接如果在被动模式下服务端和客户端的端口都可以随机分配，如果在主动模式下，服务端的端口可以固定分配，客户端的端口随机分配。

固定分配，一般在服务端的进程启动时分配端口，用于创建socket进行监听客户端，如ftp配置文件中的listen_port=10021，http默认的是80，snmp管理的 trap端口是162和snmp agent端口是161。

自动分配，创建进程即建立socket用于通讯，比如ftp服务端的数据连接进程，会从linux sysctl.conf定义的端口范围，自动来分配端口，调用bind进行端口绑定。但有时候不进行绑定端口也能正常工作，这是因为协议栈对没有端口绑定的socket进行了自动绑定。每次调用第4层协议的sendmsg成员函数时，会进行端口号的检查，如果没有绑定就调用协议的成员函数get_port进行自动绑定。

如何在 Linux 中检查打开的端口？

无论您是使用 Linux 作为服务器还是桌面，了解开放端口或正在使用的端口在各种情况下都会有所帮助。

例如，如果您正在运行基于 Apache 或 Ngnix 的 Web 服务器，则使用的端口应该是 80 或 443，检查端口将确认这一点，同样，您可以检查 SMTP 或 SSH 或其他一些服务正在使用哪个端口，在将端口分配给新服务时，了解哪些端口正在使用会很有帮助。

您还可以检查是否有用于入侵检测的开放端口。

在 Linux 中有多种检查端口的方法，我将在这个快速提示中分享我最喜欢的两种方法。

方法一：使用 lsof 命令查看当前登录的 Linux 系统中打开的端口

如果您直接或通过 SSH 登录到系统，则可以使用 lsof 命令检查其端口。

sudo lsof -i -P -n

此lsof 命令用于查找用户使用的文件和进程，这里的选项用户是：

• -i：如果没有指定IP地址，这个选项选择所有网络文件的列表
• -P：禁止将端口号转换为网络文件的端口名
• -n：禁止将网络号转换为网络文件的主机名

但是，这也向我们展示了许多计算机实际上并未监听的额外端口。

您可以将此输出通过管道传输到grep 命令并匹配模式“LISTEN”，如下所示：

sudo lsof -i -P -n | grep LISTEN

这只会显示我们的计算机正在主动监听的端口以及哪个服务正在使用所述开放端口。

方法 2：使用 netcat 命令检查任何远程 Linux 服务器上的端口

nc (Netcat) 是一个命令行实用程序，它使用 TCP 和 UDP 协议通过网络在计算机之间读取和写入数据。

nc下面给出了命令的语法：

nc [options] host port

这个实用程序有一个漂亮的-z标志，使用时，它将nc扫描侦听守护程序，而不会实际向端口发送任何数据。

将此与-v标志结合使用，启用详细程度，您可以获得详细的输出。

以下是您可以使用以下命令扫描开放端口的nc命令：

nc -z -v <IP-ADDRESS> 1-65535 2>&1 | grep -v Connection refused

替换IP-ADDRESS为您正在检查端口的 Linux 系统的 IP 地址。

至于为什么我选择值1to 65535，那是因为端口范围从 开始1和结束于65535。

最后，将输出通过管道传递给grep命令。使用该-v选项，它会排除任何将“连接被拒绝”作为匹配模式的行。

这将显示计算机上打开的所有端口，这些端口可由网络上的另一台计算机访问。

结论

在这两种方法中，我更喜欢 lsof 命令，它比 nc 命令更快。但是，您需要登录系统并拥有 sudo 访问权限。换句话说，如果您正在管理系统，则 lsof 是更合适的选择。

nc 命令具有无需登录即可扫描端口的灵活性。

这两个命令都可用于根据您所处的场景检查 Linux 中的开放端口。