Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Resolución de Problemas de Rendimiento Lento: Uso Efectivo de 'netstat' y 'ss'

Domina las herramientas esenciales de red de Linux, `netstat` y `ss`, para un diagnóstico eficiente de problemas de rendimiento. Esta guía compara el `netstat` heredado con la moderna y más rápida utilidad `ss`, proporcionando ejemplos de comandos prácticos. Aprende a filtrar resultados por estado de conexión, identificar servicios en escucha y diagnosticar rápidamente cuellos de botella en la red utilizando estadísticas de sockets Netlink.

32 vistas

Solución de problemas de rendimiento lento: Uso efectivo de 'netstat' y 'ss'

Al diagnosticar un rendimiento lento de las aplicaciones o un comportamiento inesperado de las conexiones en un sistema Linux, la pila de red suele ser el primer lugar donde buscar. Comprender las conexiones establecidas, en escucha y transitorias es crucial para identificar cuellos de botella, procesos maliciosos o anomalías de seguridad. Históricamente, los administradores dependían en gran medida de la utilidad netstat. Sin embargo, las distribuciones modernas de Linux prefieren la utilidad ss (socket statistics), que es más rápida y rica en funciones.

Esta guía proporcionará una comparación exhaustiva de netstat y ss, detallando cómo usar ambas herramientas de manera efectiva para monitorear sockets TCP y UDP, analizar estados de conexión e identificar problemas de rendimiento en su sistema.

¿Por qué monitorear los sockets de red?

La latencia y la lentitud de la red a menudo están ligadas a problemas de conexión en lugar de al agotamiento de la CPU o la memoria. Monitorear los sockets ayuda a los administradores a responder preguntas críticas como:

  • ¿Qué puertos están escuchando activamente conexiones?
  • ¿Hay demasiadas conexiones atascadas en los estados SYN_RECV o TIME_WAIT?
  • ¿Qué proceso (PID) está utilizando un puerto específico?
  • ¿Se están produciendo conexiones salientes inesperadas?

Al examinar las estadísticas de los sockets, puede descartar rápidamente problemas de configuración de red o identificar la contención de recursos relacionada con el manejo de conexiones.

La herramienta heredada: netstat

netstat ha sido la utilidad estándar para mostrar conexiones de red, tablas de enrutamiento, estadísticas de interfaz y conexiones de enmascaramiento durante décadas. Aunque está en desuso a favor de ss en muchos sistemas modernos, sigue estando ampliamente disponible y a menudo es familiar para los administradores de mucho tiempo.

Ejemplos comunes de netstat

Las banderas más comunes utilizadas con netstat proporcionan una visión general completa:

Bandera Descripción
-a Muestra todos los sockets (en escucha y no en escucha)
-n Muestra direcciones numéricas en lugar de intentar resolver nombres de host y nombres de servicio (acelera la salida)
-t Muestra conexiones TCP
-u Muestra conexiones UDP
-l Muestra solo sockets en escucha
-p Muestra el PID/nombre del programa asociado con el socket (requiere privilegios de root)

Ejemplo: Ver todas las conexiones TCP activas numéricamente

sudo netstat -ant

Ejemplo: Encontrar qué está escuchando en el puerto 80 (HTTP)

sudo netstat -antlp | grep ':80'

Comprensión de los estados de conexión (netstat)

La salida de netstat a menudo incluye una columna State. Los estados clave a observar incluyen:

  • LISTEN: Esperando conexiones entrantes.
  • ESTABLISHED: Una conexión activa y abierta.
  • TIME_WAIT: Un socket esperando un corto período después de cerrarse para asegurar que los paquetes retrasados sean manejados.
  • SYN_RECV: Esperando el reconocimiento final de un handshake de tres vías (puede indicar un ataque de inundación SYN si es excesivo).

Advertencia sobre netstat: netstat a menudo se basa en el análisis de archivos /proc/net/*, lo que puede ser lento, especialmente en sistemas con un volumen muy alto de conexiones activas (miles). Esta es la razón principal por la que se desarrolló ss.

El reemplazo moderno: ss (Estadísticas de Sockets)

La utilidad ss es significativamente más rápida que netstat porque recupera la información de los sockets directamente del espacio del kernel utilizando sockets Netlink, evitando las búsquedas más lentas del sistema de archivos.

Ejemplos comunes de ss

La estructura de banderas para ss es muy similar a la de netstat, lo que facilita la transición:

Bandera Descripción
-a Muestra todos los sockets
-n Muestra direcciones numéricas
-t Muestra sockets TCP
-u Muestra sockets UDP
-l Muestra sockets en escucha
-p Muestra información del proceso (PID/Programa)

Ejemplo: Ver todas las conexiones TCP activas numéricamente (equivalente a netstat -ant)

ss -ant

Ejemplo: Encontrar qué está escuchando en el puerto 443 (HTTPS)

sudo ss -antlp | grep ':443'

Filtrado avanzado con ss

Una de las mayores ventajas de ss es su capacidad para realizar filtrado directo en los estados de conexión, lo que es mucho más eficiente que redirigir la salida de netstat a grep.

Filtrado por estado de conexión

Puede usar la opción state directamente dentro del comando ss. Esto es extremadamente útil para diagnosticar la acumulación de conexiones.

Encontrar todos los sockets actualmente en estado TIME-WAIT:

ss -s state time-wait

Encontrar todos los sockets en estado SYN-SENT (lado del cliente esperando respuesta del servidor):

ss -s state syn-sent

Filtrado por puerto o dirección

El filtrado por dirección/puerto de destino o origen es sencillo:

Mostrar conexiones establecidas destinadas al puerto 22 (SSH):

ss -tn state established '( dport = :22 or sport = :22 )'

Mostrar conexiones relacionadas con una dirección IP local específica:

ss -ant '( daddr = 192.168.1.100 or saddr = 192.168.1.100 )'

Análisis de rendimiento: Comparación netstat vs. ss

Al solucionar problemas, la elección entre las herramientas a menudo se reduce a la velocidad y el detalle.

Característica netstat ss
Velocidad Más lento (Lee archivos) Mucho más rápido (Usa sockets Netlink)
Sintaxis Madura, altamente documentada Banderas similares, opciones específicas más nuevas
Filtrado Requiere redirigir a grep Soporte nativo para filtrado por estado y dirección
Profundidad de información Bueno para lo básico Más detalles sobre los tamaños de búfer de socket (Información TCP)
Disponibilidad Casi universal Estándar en distribuciones modernas de Linux

Diagnóstico de establecimiento lento de conexiones

Si los clientes reportan conexiones lentas, busque sockets atascados esperando handshakes. Usar ss es la forma más rápida de determinar esto:

  1. Verifique recuentos altos de SYN-RECV: Esto sugiere que el servidor está recibiendo solicitudes de conexión pero no está completando el handshake, a menudo debido al agotamiento de recursos o una alta carga de tráfico.
    bash ss -s | grep syn-rec
  2. Verifique recuentos altos de SYN-SENT: Si el propio servidor está iniciando muchas conexiones (por ejemplo, actuando como cliente de bases de datos u otras API), esto muestra que está esperando respuestas.
    bash ss -s | grep syn-sent

Si ve números excepcionalmente altos en cualquiera de las categorías, es probable que la aplicación que inicia esas conexiones se enfrente a problemas de latencia de red o de firewall.

Mejores prácticas para la solución de problemas de red

  1. Use siempre -n: Al solucionar problemas de rendimiento o al escribir scripts, use la bandera numérica (-n) para evitar retrasos en la resolución de DNS, lo que puede ralentizar los diagnósticos.
  2. Priorice ss: Adopte ss como su herramienta predeterminada. Reserve netstat solo para sistemas heredados donde ss no esté disponible.
  3. Ejecute como Root para PID: Para ver qué programa está utilizando un puerto, generalmente necesita sudo o privilegios de root al usar la bandera -p con ambas utilidades.
  4. Verifique las estadísticas de la interfaz: No olvide los contadores de la interfaz. Use ip -s link show <interface_name> para verificar si hay paquetes descartados o errores, lo que podría indicar un problema de capa física en lugar de un problema de socket.

Al dominar las capacidades modernas de ss y comprender el contexto fundamental proporcionado por netstat, los administradores de sistemas obtienen una poderosa visión del estado de la red de cualquier host Linux, acelerando significativamente el diagnóstico de rendimiento.