Netstat est un outil historique de la boîte à outils réseau sous Linux, utile pour diagnostiquer les flux et les services depuis le terminal. Il révèle les connexions, les sockets, les ports ouverts et les processus associés, aidant à comprendre l’état du réseau rapidement.
Ce guide accompagne administrateurs et utilisateurs curieux désireux d’explorer l’usage concret de Netstat pour le diagnostic et la sécurité. Les points essentiels suivants donnent un cadre clair avant d’utiliser les commandes et les options.
A retenir :
- Surveillance des connexions TCP et UDP en temps réel sur le terminal
- Identification des processus et des sockets liés aux ports en écoute
- Analyse des tables de routage et des interfaces réseau pour diagnostic
- Outils complémentaires et bonnes pratiques pour sécuriser les services exposés
Commandes netstat essentielles pour surveiller TCP et UDP sous Linux
Fort de ces points essentiels, il est utile de maîtriser les commandes de base pour agir efficacement sur le réseau. Les exemples suivants portent sur l’affichage des connexions TCP, sur les ports d’écoute et sur les sockets.
Selon la page de manuel netstat, l’option -t filtre les connexions TCP tandis que -u concerne l’UDP, ce qui permet un tri rapide. Selon la documentation Debian, l’option -a combine connexions actives et ports d’écoute pour une vue complète.
Commandes netstat clés :
- netstat -t afficher uniquement connexions TCP
- netstat -u afficher uniquement connexions UDP
- netstat -a afficher connexions et sockets en écoute
- sudo netstat -p afficher processus associés aux connexions
Option
Objet
Remarque
-t
Filtrer les connexions TCP
Utile pour vérifier sessions SSH ou HTTP
-u
Filtrer les connexions UDP
Pratique pour DNS ou services temps réel
-a
Afficher tout, connexions et écoute
Permet d’identifier services en attente
-p
Afficher le PID et le nom du processus
Nécessite souvent les droits sudo
Afficher les connexions TCP et UDP avec netstat
Cette commande permet de filtrer par protocole et de réduire le bruit lors d’un diagnostic réseau depuis le terminal. En pratique, on combine -t ou -u avec -n pour éviter la résolution DNS et accélérer l’analyse.
Selon la page de manuel netstat, l’option -n affiche les adresses et ports sous forme numérique, utile en dépannage. Pour une démonstration, la vidéo ci-dessous illustre l’usage de netstat pour lister connexions TCP et UDP.
« J’utilise netstat chaque matin pour vérifier que nos serveurs n’exposent pas de ports inattendus. »
Luc N.
Otto résout souvent des incidents en listant d’abord les connexions TCP actives et en identifiant les anomalies de latence. La méthode consiste à analyser l’état des sockets et la fréquence des connexions établies.
Identifier processus et sockets associés aux ports
Cette section montre comment relier une ligne de sortie à un processus précis pour corriger un service fautif sur le système. L’option -p rend la sortie lisible en associant PID et nom du binaire, souvent avec sudo.
Exemple pratique : exécuter sudo netstat -ltp | grep smtp pour vérifier un serveur mail. Selon l’aide Ubuntu, cette commande permet de confirmer si Postfix ou un autre service écoute sur les ports SMTP.
Exemples de vérification :
- Vérifier service SMTP avec sudo netstat -ltp et grep smtp
- Confirmer écoute SSH avec netstat -tnlp et filtrer sur 22
- Contrôler DNS local par netstat -unp et recherche du processus
- Lister interfaces actives puis corriger configuration si besoin
Options avancées, tables et statistiques réseau avec netstat
Enchaînant sur l’identification des processus, il est utile d’explorer les options de statistique et d’interface pour comprendre la santé globale du réseau. Netstat propose des vues par protocole et par interface, utiles lors d’une montée en charge ou d’un incident.
Selon la documentation Debian, netstat -s fournit des compteurs détaillés par protocole et netstat -i donne des informations par interface. Ces sorties aident à détecter erreurs ICMP ou pertes UDP.
Options avancées netstat :
- netstat -s statistiques détaillées par protocole
- netstat -i état et erreurs des interfaces réseau
- netstat -rn table de routage en format numérique
- netstat -ie informations étendues sur interfaces
Utiliser les statistiques pour analyser la performance
Cette sous-partie explique comment interpréter les compteurs sans se perdre dans les chiffres bruts, en privilégiant anomalies et changements brusques. Une hausse des erreurs RX/TX sur une interface signale souvent un problème physique ou une configuration inadaptée.
Pour aider la compréhension, la vidéo suivante montre l’analyse d’un pic d’erreurs sur une interface et les étapes de correction. Ces démonstrations pratiques facilitent la lecture des tableaux et des compteurs.
« J’ai résolu une panne réseau en ciblant une interface qui montrait des erreurs RX élevées. »
Ana N.
Dépannage rapide avec grep, sudo et filtres
Cette technique décrit le passage de la lecture brute à une liste filtrée et actionnable depuis le terminal. En combinant netstat avec grep et sudo, on isole rapidement le service fautif et on récupère le PID pour interrompre ou redémarrer le bon processus.
Exemples pratiques : utiliser sudo netstat -ltp | grep smtp pour vérifier postfact et confirmer écoute sur IPv4 et IPv6. Ces commandes s’intègrent aux procédures de surveillance automatisée en production.
« Lors d’un incident, je filtre systématiquement la sortie netstat avant d’agir sur le système en production. »
Marc N.
Sécurité, bonnes pratiques et alternatives à netstat
Compte tenu des usages opérationnels, il faut relier l’observation des ports à une stratégie de sécurité pour limiter les expositions inutiles. Les bonnes pratiques incluent la fermeture des services non essentiels et la surveillance continue des ports et des connexions.
Selon plusieurs guides de sécurité, documenter les services autorisés et limiter l’accès réseau réduit fortement la surface d’attaque. Une politique claire permet aussi d’automatiser des réponses lors d’apparitions de connexions suspectes.
Vérifications sécurité netstat :
- Lister processus exposés puis comparer avec la politique d’inventaire
- Bloquer ports non utilisés via pare-feu et vérifier règles régulièrement
- Automatiser alertes sur nouvelle écoute par services inconnus
- Documenter actions et horodatages pour audits ultérieurs
Quand préférer ss à netstat
Ce point explique pourquoi certaines distributions modernes recommandent l’outil ss pour remplacer netstat dans certains cas d’usage. Ss offre des performances supérieures et des options modernes pour lister sockets et connexions plus rapidement.
Le tableau ci-dessous compare qualitativement netstat et ss pour aider au choix en 2025, selon les documentations officielles et retours d’administrateurs.
Critère
Netstat
Ss
Disponibilité
Traditionnellement fourni par net-tools
Fourni par iproute2, présent sur distributions récentes
Performance
Lecture fiable mais parfois plus lente
Lecture plus rapide et options plus fines
Affichage PID
Option -p fournit PID et nom
Options permettent affichage similaire et plus détaillé
Cas d’usage
Analyse historique, scripts existants
Remplacement moderne, diagnostic à grande échelle
Bonnes pratiques opérationnelles et mise en œuvre
Cette partie donne un plan d’action pour intégrer netstat dans les procédures opérationnelles et les playbooks d’incident. Il s’agit d’automatiser la collecte périodique et d’alerter en cas d’écart par rapport à l’inventaire des services.
Parmi les pratiques recommandées, documenter les commandes utilisées, conserver les sorties d’analyse et mettre en place des tests réguliers sur les environnements préproduction. Ces actions facilitent la remontée et la résolution d’incidents.
« Mon équipe a réduit les incidents liés aux services exposés en suivant un inventaire strict et des vérifications quotidiennes. »
Élodie N.
Source : « netstat(8) », manpages ; Debian, « net-tools documentation » ; Ubuntu, « netstat manpage ».