核心概念

• local_address 为 IP_HEX:PORT_HEX（IP 小端）；st=0A 表示 LISTEN；inode 用于映射进程。
  

查看监听端口

awk 'function H(x){return strtonum("0x"x)}

     function ip(x){return H(substr(x,7,2))"."H(substr(x,5,2))"."H(substr(x,3,2))"."H(substr(x,1,2))}

     NR>1&&$4=="0A"{split($2,a,":"); printf "%s LISTEN\n", ip(a[1])":"H(a[2])}' /proc/net/tcp

查端口对应进程（示例：6099）

p=6099; h=$(printf "%04X" "$p")

inode=$(awk -v p=":$h" 'NR>1&&$2~p"$"&&$4=="0A"{print $10;exit}' /proc/net/tcp)

find /proc/*/fd -lname "socket:\[$inode\]" -printf "%h\n" 2>/dev/null \

| awk -F/ '{print $3}' | sort -u \

| xargs -r ps -o pid,uid,comm,args -p

为何需转义方括号

• find -lname 支持通配，[] 是字符类；需写成 "socket:\[$inode\]" 才按字面量匹配。
  

小贴士

• 查看他人进程通常需 root。
  00000000=0.0.0.0（所有网卡），0100007F=127.0.0.1。
  只筛监听看 st=0A；已连接为 01。