Linux常用網絡命令整理
Linux上有一些非常常用的命令,來幫助我們監控網絡狀況。
1.Tcpdump命令
tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,
並提供and、or、not等邏輯語句來幫助你去掉無用的信息。
1)所有參數及含義:
-A 以ASCII格式打印出所有分組,並將鏈路層的頭最小化。
-c 在收到指定的數量的分組後,tcpdump就會停止。
-C 在將一個原始分組寫入文件之前,檢查文件當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小,則關閉當前文件,然後在打開一個新的文件。參數 file_size 的單位是兆字節(是1,000,000字節,而不是1,048,576字節)。
-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。
-dd 將匹配信息包的代碼以c語言程序段的格式給出。
-ddd 將匹配信息包的代碼以十進制的形式給出。
-D 打印出系統中所有可以用tcpdump截包的網絡接口。
-e 在輸出行打印出數據鏈路層的頭部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作為地址,並且包含了安全參數索引值spi的IPsec ESP分組。
-f 將外部的Internet地址以數字的形式打印出來。
-F 從指定的文件中讀取表達式,忽略命令行中給出的表達式。
-i 指定監聽的網絡接口,多網卡時很有用。
-l 使標准輸出變為緩沖行形式,可以把數據導出到文件。
-L 列出網絡接口的已知數據鏈路。
-m 從文件module中導入SMI MIB模塊定義。該參數可以被使用多次,以導入多個MIB模塊。
-M 如果tcp報文中存在TCP-MD5選項,則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要(詳情可參考RFC 2385)。
-b 在數據-鏈路層上選擇協議,包括ip、arp、rarp、ipx都是這一層的。
-n 不把網絡地址轉換成名字。
-nn 不進行端口名稱的轉換,即不進行域名解析。
-N 不輸出主機名中的域名部分。例如,‘nic.ddn.mil‘只輸出’nic‘。
-t 在輸出的每一行不打印時間戳。
-O 不運行分組分組匹配(packet-matching)代碼優化程序。
-P 不將網絡接口設置成混雜模式。
-q 快速輸出。只輸出較少的協議信息。
-r 從指定的文件中讀取包(這些包一般通過-w選項產生)。
-S 將tcp的序列號以絕對值形式輸出,而不是相對值。
-s 從每個分組中讀取最開始的snaplen個字節,而不是默認的68個字節。
-T 將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc遠程過程調用)和snmp(簡單網絡管理協議;)。
-t 不在每一行中輸出時間戳。
-tt 在每一行中輸出非格式化的時間戳。
-ttt 輸出本行和前面一行之間的時間差。
-tttt 在每一行中輸出由date處理的默認格式的時間戳。
-u 輸出未解碼的NFS句柄。
-v 輸出一個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息。
-vv 輸出詳細的報文信息。
-w 直接將分組寫入文件中,而不是不分析並打印出來,保存到文件時很有用。
-X 顯示數據包內容,格式為十六進制。
2)Tcpdump表達式
表達式是一個正則表達式,tcpdump利用它作為過濾報文的條件,如果一個報文滿足表達式的條件,則這個報文將會被捕獲。
如果沒有給出任何條件,則網絡上所有的信息包將會被截獲。在表達式中一般如下幾種類型的關鍵字:
第一種是關於類型的關鍵字,主要包括host,net,port。
例如host 210.27.48.2,指明 210.27.48.2是一台主機,net 202.0.0.0指明202.0.0.0是一個網絡地址,port 23 指明端口號是23。如果沒有指定類型,缺省的類型是host。
第二種是確定傳輸方向的關鍵字,主要包括src,dst,dst or src,dst and src。
這些關鍵字指明了傳輸的方向。舉例說明,src 210.27.48.2指明ip包中源地址是 210.27.48.2,dst net 202.0.0.0指明目的網絡地址是202.0.0.0。
如果沒有指明方向關鍵字,則缺省是src or dst關鍵字。
第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。
如果沒有指定任何協議,則tcpdump 將會監聽所有協議的信息包。
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway,broadcast,less,greater。
還有三種邏輯運算,取非運算是 ‘not ' '! ‘,與運算是’and’,’&&',或運算是’or’。
3)例如,監控8012端口上的TCP包:
[root@bogon ~]# tcpdump -nn -n dst port 8012 and tcp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:17:19.728118 IP 10.25.1.41.58755 > 192.168.195.146.8012: Flags [.], ack 4530972, win 255, length 0
13:17:20.086680 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [S], seq 2652586086, win 8192, options [mss 1367,nop,wscale 8,nop,nop,sackOK], length 0
13:17:20.095037 IP 10.25.1.41.58755 > 192.168.195.146.8012: Flags [F.], seq 0, ack 1, win 255, length 0
13:17:20.122483 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [.], ack 56813455, win 259, length 0
13:17:20.123865 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [P.], seq 0:394, ack 1, win 259, length 394
13:17:20.244773 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [P.], seq 394:679, ack 727, win 256, length 285
13:17:20.284014 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [.], ack 850, win 255, length 0
^C
7 packets captured
7 packets received by filter
0 packets dropped by kernel
其他常用參數組合如下:
[html] view plaincopy
下面的例子全是以抓取eth0接口為例,如果不加”-i eth0”是表示抓取所有的接口包括lo。
首先安裝tcpdump包:yum install -y tcpdump
1、抓取包含172.16.1.122的數據包
# tcpdump -i eth0 -vnn host 172.16.1.122
2、抓取包含172.16.1.0/24網段的數據包
# tcpdump -i eth0 -vnn net 172.16.1.0/24
3、抓取包含端口22的數據包
# tcpdump -i eth0 -vnn port 22
4、抓取udp協議的數據包
# tcpdump -i eth0 -vnn udp
5、抓取icmp協議的數據包
# tcpdump -i eth0 -vnn icmp
6、抓取arp協議的數據包
# tcpdump -i eth0 -vnn arp
7、抓取ip協議的數據包
# tcpdump -i eth0 -vnn ip
8、抓取源ip是172.16.1.122數據包。
# tcpdump -i eth0 -vnn src host 172.16.1.122
9、抓取目的ip是172.16.1.122數據包
# tcpdump -i eth0 -vnn dst host 172.16.1.122
10、抓取源端口是22的數據包
# tcpdump -i eth0 -vnn src port 22
11、抓取源ip是172.16.1.253且目的ip是22的數據包
# tcpdump -i eth0 -vnn src host 172.16.1.253 and dst port 22
12、抓取源ip是172.16.1.122或者包含端口是22的數據包
# tcpdump -i eth0 -vnn src host 172.16.1.122 or port 22
13、抓取源ip是172.16.1.122且端口不是22的數據包
[root@ ftp]# tcpdump -i eth0 -vnn src host 172.16.1.122 and not port 22
14、抓取源ip是172.16.1.2且目的端口是22,或源ip是172.16.1.65且目的端口是80的數據包。
# tcpdump -i eth0 -vnn \( src host 172.16.1.2 and dst port 22 \) or \( src host 172.16.1.65 and dst port 80 \)
15、抓取源ip是172.16.1.59且目的端口是22,或源ip是172.16.1.68且目的端口是80的數據包。
# tcpdump -i eth0 -vnn 'src host 172.16.1.59 and dst port 22' or ' src host 172.16.1.68 and dst port 80 '
16、把抓取的數據包記錄存到/tmp/fill文件中,當抓取100個數據包後就退出程序。
# tcpdump –i eth0 -vnn -w /tmp/fil1 -c 100
17、從/tmp/fill記錄中讀取tcp協議的數據包
# tcpdump –i eth0 -vnn -r /tmp/fil1 tcp
18、從/tmp/fill記錄中讀取包含172.16.1.58的數據包
# tcpdump –i eth0 -vnn -r /tmp/fil1 host 172.16.1.58
2.Netstat命令
1)所有參數如下,常用參數用紅色標記:
-a或--all 顯示所有連線中的Socket,例如已建立連接(ESTABLISHED),監聽連接請求(LISTENING)等。
-A<網絡類型>或--<網絡類型> 列出該網絡類型連線中的相關地址。
-c或--continuous 持續列出網絡狀態。
-C或--cache 顯示路由器配置的快取信息。
-e或--extend 顯示網絡其他相關信息。
-F或--fib 顯示FIB。
-g或--groups 顯示多重廣播功能群組組員名單。
-h或--help 在線幫助。
-i或--interfaces 顯示網絡界面信息表單。
-l或--listening 顯示監控中的服務器的Socket。
-M或--masquerade 顯示偽裝的網絡連線。
-n或--numeric 直接使用IP地址,而不通過域名服務器。
-N或--netlink或--symbolic 顯示網絡硬件外圍設備的符號連接名稱。
-o或--timers 顯示計時器。
-p或--programs 顯示正在使用Socket的程序識別碼和程序名稱。
-r或--route 顯示Routing Table。
-s或--statistice 顯示網絡工作信息統計表。
-t或--tcp 顯示TCP傳輸協議的連線狀況。
-u或--udp 顯示UDP傳輸協議的連線狀況。
-v或--verbose 顯示指令執行過程。
-V或--version 顯示版本信息。
-w或--raw 顯示RAW傳輸協議的連線狀況。
-x或--unix 此參數的效果和指定"-A unix"參數相同。
--ip或--inet 此參數的效果和指定"-A inet"參數相同。
2)執行:netstat -anltpu
輸出結果:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:2208 0.0.0.0:* LISTEN 3226/hpiod
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 3411/mysqld
tcp 0 0 0.0.0.0:1002 0.0.0.0:* LISTEN 2940/rpc.statd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2883/portmap
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 3259/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3453/sendmail: acce
tcp 0 0 127.0.0.1:2207 0.0.0.0:* LISTEN 3231/python
tcp 0 0 202.102.240.93:3306 122.207.210.12:1750 ESTABLISHED 3411/mysqld
tcp 0 0 202.102.240.93:3306 122.207.210.12:1748 ESTABLISHED 3411/mysqld
tcp 0 0 202.102.240.93:3306 202.102.240.93:59141 ESTABLISHED 3411/mysqld
tcp 0 0 202.102.240.93:59141 202.102.240.93:3306 ESTABLISHED 7059/httpd
其他常用組合有:-nltp只查看LISTEN狀態的TCP連接的程序。
3)可以借助watch命令或netstat的-c參數,幫助我們實時監控某個進程的網絡狀況:
watch -n 1 -d "netstat -anpo | grep "php-fpm""
輸出結果:
tcp 0 0 192.168.195.145:48467 192.168.198.52:6379 ESTABLISHED 27908/php-fpm off (0.00/0/0)
tcp 0 0 192.168.195.145:39178 192.168.195.145:3306 ESTABLISHED 27908/php-fpm keepalive (7197.09/0/0)
unix 2 [ ACC ] STREAM LISTENING 2449287 27901/php-fpm /dev/shm/php-fcgi.sock
unix 3 [ ] STREAM CONNECTED 2450180 27908/php-fpm /dev/shm/php-fcgi.sock
unix 3 [ ] STREAM CONNECTED 2449286 27901/php-fpm
unix 3 [ ] STREAM CONNECTED 2449285 27901/php-fpm