Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Resolução de Problemas de Desempenho Lento: Usando 'netstat' e 'ss' de Forma Eficaz

Domine as ferramentas essenciais de rede Linux `netstat` e `ss` para uma resolução eficiente de problemas de desempenho. Este guia compara o `netstat` legado com a utilidade `ss` moderna e mais rápida, fornecendo exemplos práticos de comandos. Aprenda a filtrar resultados por estado de conexão, identificar serviços em escuta e diagnosticar gargalos de rede rapidamente usando estatísticas de sockets Netlink.

31 visualizações

Solução de Problemas de Desempenho Lento: Usando 'netstat' e 'ss' de Forma Eficaz

Ao diagnosticar desempenho lento de aplicações ou comportamento de conexão inesperado em um sistema Linux, a pilha de rede é frequentemente o primeiro lugar a ser verificado. Entender as conexões estabelecidas, em escuta e transitórias é crucial para identificar gargalos, processos maliciosos ou anomalias de segurança. Historicamente, os administradores dependiam muito da utilidade netstat. No entanto, as distribuições Linux modernas favorecem a utilidade ss (estatísticas de socket), que é mais rápida e rica em recursos.

Este guia fornecerá uma comparação abrangente entre netstat e ss, detalhando como usar ambas as ferramentas de forma eficaz para monitorar sockets TCP e UDP, analisar estados de conexão e identificar problemas de desempenho no seu sistema.

Por que Monitorar Sockets de Rede?

A latência de rede e a lentidão estão frequentemente ligadas a problemas de conexão, em vez de exaustão de CPU ou memória. Monitorar sockets ajuda os administradores a responder a perguntas críticas, como:

  • Quais portas estão ativamente escutando por conexões?
  • Existem muitas conexões presas nos estados SYN_RECV ou TIME_WAIT?
  • Qual processo (PID) está usando uma porta específica?
  • Estão ocorrendo conexões de saída inesperadas?

Ao examinar as estatísticas de socket, você pode descartar rapidamente problemas de configuração de rede ou identificar contenção de recursos relacionada ao tratamento de conexões.

A Ferramenta Legada: netstat

O netstat tem sido a utilidade padrão para exibir conexões de rede, tabelas de roteamento, estatísticas de interface e conexões de mascaramento por décadas. Embora tenha sido descontinuado em favor do ss em muitos sistemas modernos, ele continua amplamente disponível e frequentemente familiar para administradores de longa data.

Exemplos Comuns de netstat

As flags mais comuns usadas com netstat fornecem uma visão geral abrangente:

Flag Descrição
-a Mostra todos os sockets (em escuta e não em escuta)
-n Mostra endereços numéricos em vez de tentar resolver nomes de host e nomes de serviço (acelera a saída)
-t Mostra conexões TCP
-u Mostra conexões UDP
-l Mostra apenas sockets em escuta
-p Mostra o PID/Nome do Programa associado ao socket (requer privilégios de root)

Exemplo: Visualizando todas as conexões TCP ativas numericamente

sudo netstat -ant

Exemplo: Encontrando o que está escutando na porta 80 (HTTP)

sudo netstat -antlp | grep ':80'

Entendendo os Estados de Conexão (netstat)

A saída do netstat geralmente inclui uma coluna State (Estado). Os estados chave a serem observados incluem:

  • LISTEN: Aguardando conexões de entrada.
  • ESTABLISHED: Uma conexão ativa e aberta.
  • TIME_WAIT: Um socket aguardando por um curto período após o fechamento para garantir que pacotes atrasados sejam tratados.
  • SYN_RECV: Aguardando o reconhecimento final de um three-way handshake (pode indicar um ataque SYN flood se for excessivo).

Aviso sobre netstat: O netstat frequentemente depende da análise dos arquivos /proc/net/*, o que pode ser lento, especialmente em sistemas com um volume muito alto de conexões ativas (milhares). Esta é a principal razão pela qual o ss foi desenvolvido.

A Substituição Moderna: ss (Estatísticas de Socket)

A utilidade ss é significativamente mais rápida que o netstat porque recupera informações de socket diretamente do espaço do kernel usando sockets Netlink, contornando consultas de sistema de arquivos mais lentas.

Exemplos Comuns de ss

A estrutura de flags para ss é muito semelhante à do netstat, promovendo uma transição fácil:

Flag Descrição
-a Mostra todos os sockets
-n Mostra endereços numéricos
-t Mostra sockets TCP
-u Mostra sockets UDP
-l Mostra sockets em escuta
-p Mostra informações de processo (PID/Programa)

Exemplo: Visualizando todas as conexões TCP ativas numericamente (Equivalente a netstat -ant)

ss -ant

Exemplo: Encontrando o que está escutando na porta 443 (HTTPS)

sudo ss -antlp | grep ':443'

Filtragem Avançada com ss

Uma das maiores vantagens do ss é sua capacidade de realizar filtragem direta nos estados de conexão, o que é muito mais eficiente do que canalizar a saída do netstat para o grep.

Filtragem por Estado de Conexão

Você pode usar a opção state diretamente no comando ss. Isso é extremamente útil para diagnosticar o acúmulo de conexões.

Encontrando todos os sockets atualmente no estado TIME-WAIT:

ss -s state time-wait

Encontrando todos os sockets no estado SYN-SENT (lado do cliente esperando resposta do servidor):

ss -s state syn-sent

Filtragem por Porta ou Endereço

A filtragem por endereço/porta de destino ou origem é simples:

Mostrar conexões estabelecidas destinadas à porta 22 (SSH):

ss -tn state established '( dport = :22 or sport = :22 )'

Mostrar conexões relacionadas a um endereço IP local específico:

ss -ant '( daddr = 192.168.1.100 or saddr = 192.168.1.100 )'

Análise de Desempenho: Comparação netstat vs. ss

Ao solucionar problemas, a escolha entre as ferramentas geralmente se resume à velocidade e ao detalhe.

Recurso netstat ss
Velocidade Mais Lento (Lê arquivos) Muito Mais Rápido (Usa sockets Netlink)
Sintaxe Maduro, altamente documentado Flags semelhantes, opções específicas mais novas
Filtragem Requer canalização para grep Suporte nativo para filtragem de estado e endereço
Profundidade da Informação Bom para o básico Mais detalhes sobre tamanhos de buffer de socket (Info TCP)
Disponibilidade Quase universal Padrão em distribuições Linux modernas

Diagnosticando Estabelecimento Lento de Conexão

Se os clientes relatam conexões lentas, verifique se há sockets presos esperando por handshakes. Usar ss é a maneira mais rápida de determinar isso:

  1. Verificar contagens altas de SYN-RECV: Isso sugere que o servidor está recebendo solicitações de conexão, mas não está completando o handshake, muitas vezes devido à exaustão de recursos ou alta carga de tráfego.
    bash ss -s | grep syn-rec
  2. Verificar contagens altas de SYN-SENT: Se o próprio servidor estiver iniciando muitas conexões (por exemplo, agindo como cliente para bancos de dados ou outras APIs), isso mostra que ele está esperando por respostas.
    bash ss -s | grep syn-sent

Se você vir números excepcionalmente altos em qualquer categoria, a aplicação que está iniciando essas conexões provavelmente está enfrentando latência de rede ou problemas de firewall.

Melhores Práticas para Solução de Problemas de Rede

  1. Sempre Use -n: Ao solucionar problemas de desempenho ou fazer scripts, use a flag numérica (-n) para evitar atrasos na resolução de DNS, o que pode tornar o diagnóstico lento.
  2. Priorize o ss: Adote o ss como sua ferramenta padrão. Reserve o netstat apenas para sistemas legados onde o ss não está disponível.
  3. Execute como Root para PID: Para ver qual programa está usando uma porta, você geralmente precisa de privilégios de sudo ou root ao usar a flag -p com ambas as utilidades.
  4. Verifique as Estatísticas da Interface: Não se esqueça dos contadores da interface. Use ip -s link show <nome_da_interface> para verificar pacotes descartados ou erros, o que pode indicar um problema na camada física, em vez de um problema de socket.

Ao dominar os recursos modernos do ss e entender o contexto fundamental fornecido pelo netstat, os administradores de sistema ganham uma visão poderosa do estado de rede de qualquer host Linux, acelerando significativamente o diagnóstico de desempenho.