Linux下ss-o命令详解与TCP计时器查看方法

本文深入解析了 Linux 中 `ss -o` 命令查看 TCP 连接计时器的正确用法与常见误区，强调只有组合使用 `-t`（TCP 协议）、`-n`（数字地址）和 `-o`（计时器）才能稳定输出 timer、expires 和 retrans 等关键字段；详细揭示了 timer 字段的真实含义——它反映的是当前活跃的定时器类型（如重传、保活或 TIME-WAIT 倒计时），而非简单的开关状态，并指出仅靠 `state established` 过滤易遗漏真实重传问题，推荐结合 `-i` 选项获取更精准的 RTT、RTO 和重传统计；同时针对老内核或容器环境 timer 字段缺失的情况，提供了 `/proc/net/tcp` 解析和 tcpdump 抓包等实用替代方案，帮助运维和开发者高效诊断 TCP 连接异常。

ss -o 能看到 TCP 连接的计时器，但必须配合 -t 和 -n 才有效，单独用 ss -o 不会显示任何定时器字段。

为什么 ss -o 单独运行没输出 timer 字段

因为 ss 的 -o 选项只对支持计时器的协议（主要是 TCP）生效，且需显式指定协议类型。UDP 套接字无连接级定时器，ss -uno 中 timer 多为 off；而未加 -t 时，ss 默认不加载 TCP 计时器逻辑，字段直接被省略。

实际生效的最小组合是：ss -tno（TCP + 数字地址 + 计时器）。

• ss -o → 无协议限定，timer 列不出现
• ss -to → 缺少 -n，部分内核版本会因解析失败跳过 timer 字段
• ss -tno → 正确基础组合，可稳定输出 timer、expires、retrans

ss -tno 输出中 timer 字段的真实含义

timer 字段不是“是否启用”，而是当前**活跃的定时器类型及其状态**。常见值有：

• on：重传定时器（RTO）正在运行，连接可能卡在丢包重试中
• keepalive：保活定时器激活，通常出现在长连接空闲期
• timewait：仅出现在 TIME-WAIT 状态套接字，表示 2MSL 倒计时进行中
• off：当前无活跃定时器（如 ESTABLISHED 但无重传、无保活、未进 TIME-WAIT）

expires 是毫秒级剩余时间，但注意：该值在高负载或中断延迟大的系统上可能不准；retrans 只对已触发重传的连接有意义，新建立连接或纯接收方不会显示此列。

查已建立连接的重传与 RTO，别只看 state established

ss -tno state established 看起来合理，但容易漏掉关键细节：

• 它只过滤状态为 ESTABLISHED 的连接，但重传行为可能发生在 FIN-WAIT-1 或 LAST-ACK 阶段
• 某些连接虽标为 ESTABLISHED，timer 为 off，retrans 为空，不代表没丢包——可能刚发完包，RTO 尚未启动
• 真正要定位重传问题，应优先用 ss -tni（带 -i 查 RTT、RTO、retransmits 计数器），再结合 -o 看当前是否在倒计时

例如：sudo ss -tni src :8080 可聚焦某服务端口的实时重传指标，比泛查所有 established 更准。

老内核（如 3.x）或容器环境里 timer 字段为空怎么办

timer 字段依赖内核 socket 结构体中的 sk_timer 成员暴露，3.10 之前版本或某些精简内核（如 Alpine 的 linux-hardened）可能未导出该字段，此时 ss -tno 输出中 timer 列直接缺失，而非显示 off。

替代办法只有两个：

• 查 /proc/net/tcp 第 10 列（tmr），值为 01 表示重传中，02 是保活，00 为空闲——但需查内核源码确认编码规则
• 用 tcpdump -nni any 'tcp[tcpflags] & (tcp-rst|tcp-syn) != 0 or tcp[12] & 0xf0 > 0x50' 抓重传包，从网络层反推

别指望 netstat --timers，它在多数 2024 年后发行版中已被移除或返回空值。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~