A sintaxe correta é:
lsof -a -i4 -i6 -itcp
Isso seleciona os soquetes TCP que são IPv4 ou IPv6.
# lsof -n -itcp | wc
92 919 10212
# lsof -n | grep TCP | wc
2482 27222 373861
O que estou fazendo de errado com lsof -itcp ? Tal chamada está ignorando parte das conexões, parece que são conexões de threads.
A sintaxe correta é:
lsof -a -i4 -i6 -itcp
Isso seleciona os soquetes TCP que são IPv4 ou IPv6.
Dê uma olhada nas duas saídas. Aqui estão amostras do meu sistema
lsof -n -itcp | head -4
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rpcbind 1509 root 8u IPv4 9013 0t0 TCP *:sunrpc (LISTEN)
rpcbind 1509 root 11u IPv6 9016 0t0 TCP *:sunrpc (LISTEN)
rpc.statd 1537 statd 8u IPv4 10059 0t0 TCP *:36035 (LISTEN)
lsof -n | grep TCP | head -4
rpcbind 1509 root 8u IPv4 9013 0t0 TCP *:sunrpc (LISTEN)
rpcbind 1509 root 11u IPv6 9016 0t0 TCP *:sunrpc (LISTEN)
rpc.statd 1537 statd 8u IPv4 10059 0t0 TCP *:36035 (LISTEN)
rpc.statd 1537 statd 10u IPv6 10063 0t0 TCP *:45203 (LISTEN)
Um rápido exame mostra que as únicas diferenças óbvias até agora são os espaços em branco. Isso pode ser comparado com facilidade para encontrar diferenças reais:
lsof -n -itcp | sort >1
lsof -n | grep TCP | sort >2
diff -wu 1 2 | grep '^[+-]'
--- 1 2015-10-13 20:43:12.588658249 +0100
+++ 2 2015-10-13 20:43:18.272678740 +0100
-COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
+dconf 3618 3634 roaima 11u IPv6 12705 0t0 TCP [::1]:45177->[::1]:6010 (ESTABLISHED)
+gdbus 3632 3633 roaima 5u IPv6 14008 0t0 TCP [::1]:45179->[::1]:6010 (ESTABLISHED)
+virt-mana 3618 3636 roaima 11u IPv6 12705 0t0 TCP [::1]:45177->[::1]:6010 (ESTABLISHED)
+virt-mana 3618 3645 roaima 11u IPv6 12705 0t0 TCP [::1]:45177->[::1]:6010 (ESTABLISHED)
Com base nessa saída, sugiro que a diferença no meu caso seja o tráfego IPv6. Você pode querer rever sua própria situação, mas eu suspeito que seja o mesmo.