一，工具简介

tcpstates工具将会打印 TCP 状态更改信息，包括在每个状态中持续的时间（以毫秒为单位）。它是一个用于监控和分析TCP连接状态变化的工具。它利用BPF程序来跟踪TCP连接的生命周期，并记录每个连接在不同状态（如SYN_SENT、SYN_RECV、ESTABLISHED、FIN_WAIT1、FIN_WAIT2、TIME_WAIT等）下花费的时间。

tcpstates工具的工作原理是通过在内核中附加BPF程序来捕获TCP状态变化事件。当TCP连接的状态发生变化时，BPF程序会收集相关的信息，如连接的源IP地址、目的IP地址、端口号、进程ID、命令名称以及状态变化的时间戳等。然后，这些信息可以被发送到用户空间的应用程序进行进一步的分析和处理。

使用tcpstates工具，开发者可以获得关于TCP连接状态变化的详细统计信息，从而了解网络连接的性能、稳定性和安全性。例如，他们可以分析在特定状态下花费的时间，以识别可能存在的性能瓶颈或网络问题。此外，他们还可以根据进程ID和命令名称来确定哪些应用程序正在使用网络连接，并监控它们的行为。

二，代码示例

#!/usr/bin/env python

from __future__ import print_function
from bcc import BPF
import argparse
from socket import inet_ntop, AF_INET, AF_INET6
from time import strftime, time
from os import getuid

# arguments
examples = """examples:
    ./tcpstates           # trace all TCP state changes
    .