套接字查看器 · SockView

它解决什么问题

机器上正开着哪些连接？哪个进程连去了陌生 IP？端口被谁占了？命令行的 ss、netstat 能列出连接，却是静态快照——看不到连接的实时变化，进程归属也要反复拼凑，更没法在界面上直接把可疑连接关掉。

套接字查看器把这一切搬进一个实时刷新的图形界面：每条连接连同它的进程、流量、速率一同呈现，新建/变化/关闭实时变色；发现可疑连接，右键即可关闭连接或结束进程——排查与处置一气呵成。

典型场景：可疑外连与端口占用排查、实时流量与连接行为观察、应急响应处置、服务连接诊断、运维巡检、安全教学演示。

核心能力

实时连接全景 + 进程归属

实时罗列每一个套接字端点（TCP / UDP 等多种类型），自动把连接归属到发起它的进程——进程名、PID、协议、连接状态、本地/远程地址端口、收发包数与字节、实时速率，一目了然。进程列还显示可执行文件图标，并为每条连接绘制近期收发速率的趋势曲线。

???? TCPView 经典变色

延续 TCPView 的直觉体验：绿色 = 新建、黄色 = 状态变化、红色 = 正在关闭，连接的动态一眼可辨。

强大的过滤与检索

支持 ss 风格的过滤表达式（如「已建立且目标在某网段」「目的端口 443」「IPv6 且源端口 < 1024」等），可按连接状态过滤、即时搜索、按进程分组为可折叠树；无法识别为表达式时自动退回普通子串匹配。

????️ 不只是看，更能处置

右键或多选批量关闭连接、结束进程、复制信息、查询 Whois。双击任意连接查看详细属性，包括所属软件包（相当于"发布者"）、进程启动时间、队列深度与套接字内存、TCP 深度指标（RTT、拥塞窗口、重传、拥塞算法等）、cgroup 路径等。

???? 多协议与命名空间

除常见的 TCP/UDP 外，还可枚举 UNIX 域套接字等多种套接字族；当系统存在网络命名空间时，可在界面切换查看指定命名空间内的连接——容器/隔离环境排查同样得心应手。

称手的界面细节

可排序的多列表格、列显示/隐藏与布局持久化、刷新频率可调（暂停 / 1s / 2s / 5s）、地址与服务名解析、字体选择、深色模式、中英双语随手切换；当前视图可一键导出为 CSV / TXT / JSON。

???? 图形界面与命令行兼备

既有面向日常的图形界面，也有 tcpvcon 风格的命令行工具，支持结构化输出、ss 风格过滤与统计、脚本化批处理，适合服务器与自动化场景。

技术实现（简述）

• 原生实现 —— 采用 Rust 编写，图形界面基于 GTK4；图形界面与命令行共享同一套数据采集层，结果一致。
• 高效枚举 —— 直接走内核的套接字诊断接口获取连接状态与统计，并通过系统进程信息完成"连接 ↔ 进程"归属。普通枚举无需任何特权。
• 按需提权，无常驻服务 —— 默认以普通用户运行，此时归属到你自己的进程即可满足多数排查；需要看全系统连接、关闭他人连接或结束进程时，点击一次按需经系统授权（polkit）拉起特权后端，界面退出即随之退出——不留后台常驻服务。
• 稳健渲染 —— 界面默认采用软件渲染，首帧更稳、占用更省，并规避部分图形驱动组合下的初始化问题；需要时可切换到 GPU 渲染。

上述为面向使用者的概述；更详尽的工程细节随源码一同提供。

为什么选它

说明：Linux 内核不提供 UDP 的逐套接字字节/包计数，因此 UDP 端点的流量列显示 N/A；TCP 计数精确。

系统要求

• 较新的 Linux 桌面环境（X11 或 Wayland 均可）
• 日常查看以普通用户身份即可；查看全系统连接或执行关闭/结束等操作时会按需弹出系统提权确认

⚠️ 使用须知

本工具可关闭网络连接、结束进程，误操作可能中断正在进行的通信或服务。请仅在获得授权的、可信的主机上使用，处置前先行确认目标。它面向网络排查与运维诊断等合法用途。

[内核课程]《Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。