[Linux] ss / netstat — 포트·소켓 분석 완전 정복 🌐

서버가 갑자기 느려지거나 특정 애플리케이션이 포트를 잡고 있을 때,
또는 “지금 클라이언트가 제대로 붙어 있는지” 확인해야 할 때 가장 먼저 떠올려야 할 명령어가 바로 ss(Socket Statistics) 입니다.

예전에는 대부분 netstat을 사용했지만,
지금의 리눅스 환경(iproute2 기반)에서는 ss가 더 빠르고, 더 정확하고, 더 표준적인 도구입니다.

이 글에서는 ss의 핵심 옵션부터 실무에서 바로 쓰는 문제 해결 패턴까지
초보자도 바로 따라 할 수 있게 정리했습니다.

---

1. ss가 netstat보다 더 중요한 이유

netstat vs ss 리눅스 네트워크 상태 확인 도구 비교 다이어그램

예전 서버 환경에서는 net-tools 패키지의 netstat 명령을 사용했습니다.
하지만 modern Linux 대부분은 iproute2 기반을 사용하고 있으며
여기에는 더 빠른 네트워크 분석 도구 ss(Socket Statistics) 가 포함되어 있습니다.

비교해보면 다음과 같습니다.

항목	ss	netstat
속도	매우 빠름	느림
정확도	최신 커널 기반	정보 제한 있음
지원 여부	최신 시스템 표준	deprecated(거의 사용 X)
설치	기본 포함	따로 설치 필요

💡 지금은 ss를 기본, netstat는 보조 도구로 이해하면 됩니다.

---

2. ss 명령어 중 가장 많이 사용하는 4가지

ss -tulpn 명령어로 열린 포트와 소켓 상태를 확인하는 실제 출력 예시

1) 전체 TCP 연결 보기

ss -t

 

2) LISTEN 상태(열린 포트) 보기

ss -tulpn

 

옵션 설명:

옵션	의미
-t	TCP
-u	UDP
-l	LISTEN 상태만
-p	프로세스 정보(PID) 표시
-n	포트번호 숫자로 표시

즉,

ss -tulpn

 

이 조합 하나로 열린 포트 + 어떤 프로세스가 점유 중인지 한 번에 확인 가능.

3) 특정 포트를 누가 쓰는지 확인

예: 80번 포트를 누가 사용 중인지

ss -tulpn | grep :80

 

출력 예:

tcp   LISTEN  0  128  0.0.0.0:80   0.0.0.0:*   users:(("nginx",pid=1234,fd=6))

 

→ nginx(PID 1234)가 80번 포트 점유 중

4) 현재 접속자(ESTABLISHED) 확인

ss -ta

 

특정 IP만 보려면:

ss -ta | grep 192.168.0.10

 

---

 

3. 개발자·운영자가 실제로 자주 겪는 문제에 대한 실무 예제 

포트 충돌 발생 원리 : "Address already in use" 오류 시나리오 다이어그램

여기부터는 실제로 자주 발생하는 문제와 해결 패턴들입니다.
실무 환경에서 바로 쓸 수 있는 명령만 모았습니다.

예제 1) “포트 충돌” 때문에 서버가 안 뜨는 경우

웹서버가 80 포트를 열려고 할 때 이런 에러가 발생할 수도 있습니다.

bind() failed: Address already in use

 

문제 해결:

ss -tulpn | grep :80

 

출력 예:

tcp LISTEN 0 128 0.0.0.0:80 users:(("python3",pid=2010,fd=8))

 

→ python3 서버가 80번 포트를 이미 사용 중
→ 해당 프로세스를 종료하거나 설정 변경 필요

예제 2) 특정 서비스에 접속자가 실제로 있는지 확인

예) Nginx에 접속한 클라이언트 확인

ss -tan | grep :443

 

ESTABLISHED 상태의 연결만 보기:

ss -tan state established | grep :443

 

예제 3) CLOSE_WAIT, TIME_WAIT 상태 분석

서비스가 비정상적이거나
서버 리소스가 부족할 때 자주 등장합니다.

CLOSE_WAIT

ss -tan | grep CLOSE-WAIT

 

→ 서버 쪽 코드가 소켓을 제대로 close() 하지 않았다는 의미

TIME_WAIT

ss -tan | grep TIME-WAIT

 

→ 서버가 너무 빠르게 커넥션을 생성/해제하는 상황에서 흔함

TIME_WAIT이 수천 개 쌓이면
네트워크 부하나 웹서버 설정 문제 가능

예제 4) UDP 포트 사용 중인 서버 확인

ss -ulpn

 

예: DNS(53) 포트 확인

ss -ulpn | grep :53

 

예제 5) 특정 프로세스가 사용하는 소켓만 보기

예: PID 1234가 어떤 소켓을 사용 중인지

ss -p | grep 1234

 

---

4. netstat도 알아두면 좋은 이유 (보조용)

netstat -tulpn 명령어로 열린 포트와 서비스 상태를 확인하는 출력 예시

netstat는 지금은 주로 보조 도구지만
여전히 일부 디버깅에서 빠르게 사용되기도 합니다.

예) LISTEN 포트만 보기:

netstat -tulpn

 

예) 전체 연결 보기

netstat -an

 

하지만 대부분의 정보는 ss가 더 자세히 보여줍니다.

---

5. ss + ps + grep 조합 

ss + ps + grep을 활용한 포트 충돌 및 네트워크 문제 해결 흐름도

✔ 어떤 프로세스가 어떤 포트를 잡는지 바로 확인

ss -tulpn | grep LISTEN

 

✔ web server가 갑자기 느릴 때

• 연결 상태 먼저 확인

ss -tan | grep :443

 

• CPU 사용률 확인

ps aux --sort=-%cpu | head

 

✔ 포트 점유된 프로세스를 종료하기

ss -tulpn | grep :8080

 

출력에서 PID 확인 후:

kill -9 PID

 

---

6. 마무리 — ss는 단순한 포트 확인 도구가 아니다

ss는 단순히 “열린 포트 확인” 수준의 명령어가 아닙니다.
리눅스 네트워크 커넥션의 전체 상태를 실시간으로 진단하는 핵심 도구입니다.

• 어떤 포트가 열려있는지
• 어떤 프로세스가 포트를 점유하는지
• 접속자가 실제로 연결 중인지
• CLOSE_WAIT, TIME_WAIT 같은 비정상 상태
• UDP/TCP 기반 서비스 분석

이 모든 작업을 ss 하나로 정확하게 파악할 수 있습니다.

정리하면,
ss는 네트워크의 현재를 보여주는 가장 강력한 진단 도구이며,
서버·임베디드·백엔드 개발자 모두가 반드시 익혀야 할 명령어입니다.

 

이전글 보기

[Linux] ps / top — 프로세스와 시스템 상태 완전 정복 🧠

 

다음글 보기

[Linux] kill pkill killall — 프로세스 종료 명령어 완전 정복 ⚡️