歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

Linux常用網絡命令整理

Linux常用網絡命令整理   Linux上有一些非常常用的命令,來幫助我們監控網絡狀況。   1.Tcpdump命令   tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾, 並提供and、or、not等邏輯語句來幫助你去掉無用的信息。   1)所有參數及含義: -A 以ASCII格式打印出所有分組,並將鏈路層的頭最小化。 -c 在收到指定的數量的分組後,tcpdump就會停止。 -C 在將一個原始分組寫入文件之前,檢查文件當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小,則關閉當前文件,然後在打開一個新的文件。參數 file_size 的單位是兆字節(是1,000,000字節,而不是1,048,576字節)。 -d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。 -dd 將匹配信息包的代碼以c語言程序段的格式給出。 -ddd 將匹配信息包的代碼以十進制的形式給出。 -D 打印出系統中所有可以用tcpdump截包的網絡接口。 -e 在輸出行打印出數據鏈路層的頭部信息。 -E 用spi@ipaddr algo:secret解密那些以addr作為地址,並且包含了安全參數索引值spi的IPsec ESP分組。 -f 將外部的Internet地址以數字的形式打印出來。 -F 從指定的文件中讀取表達式,忽略命令行中給出的表達式。 -i 指定監聽的網絡接口,多網卡時很有用。 -l 使標准輸出變為緩沖行形式,可以把數據導出到文件。 -L 列出網絡接口的已知數據鏈路。 -m 從文件module中導入SMI MIB模塊定義。該參數可以被使用多次,以導入多個MIB模塊。 -M 如果tcp報文中存在TCP-MD5選項,則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要(詳情可參考RFC 2385)。 -b 在數據-鏈路層上選擇協議,包括ip、arp、rarp、ipx都是這一層的。 -n 不把網絡地址轉換成名字。 -nn 不進行端口名稱的轉換,即不進行域名解析。 -N 不輸出主機名中的域名部分。例如,‘nic.ddn.mil‘只輸出’nic‘。 -t 在輸出的每一行不打印時間戳。 -O 不運行分組分組匹配(packet-matching)代碼優化程序。 -P 不將網絡接口設置成混雜模式。 -q 快速輸出。只輸出較少的協議信息。 -r 從指定的文件中讀取包(這些包一般通過-w選項產生)。 -S 將tcp的序列號以絕對值形式輸出,而不是相對值。 -s 從每個分組中讀取最開始的snaplen個字節,而不是默認的68個字節。 -T 將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc遠程過程調用)和snmp(簡單網絡管理協議;)。 -t 不在每一行中輸出時間戳。 -tt 在每一行中輸出非格式化的時間戳。 -ttt 輸出本行和前面一行之間的時間差。 -tttt 在每一行中輸出由date處理的默認格式的時間戳。 -u 輸出未解碼的NFS句柄。 -v 輸出一個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息。 -vv 輸出詳細的報文信息。 -w 直接將分組寫入文件中,而不是不分析並打印出來,保存到文件時很有用。      -X 顯示數據包內容,格式為十六進制。   2)Tcpdump表達式 表達式是一個正則表達式,tcpdump利用它作為過濾報文的條件,如果一個報文滿足表達式的條件,則這個報文將會被捕獲。 如果沒有給出任何條件,則網絡上所有的信息包將會被截獲。在表達式中一般如下幾種類型的關鍵字:    第一種是關於類型的關鍵字,主要包括host,net,port。 例如host 210.27.48.2,指明 210.27.48.2是一台主機,net 202.0.0.0指明202.0.0.0是一個網絡地址,port 23 指明端口號是23。如果沒有指定類型,缺省的類型是host。    第二種是確定傳輸方向的關鍵字,主要包括src,dst,dst or src,dst and src。 這些關鍵字指明了傳輸的方向。舉例說明,src 210.27.48.2指明ip包中源地址是 210.27.48.2,dst net 202.0.0.0指明目的網絡地址是202.0.0.0。 如果沒有指明方向關鍵字,則缺省是src or dst關鍵字。   第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。 如果沒有指定任何協議,則tcpdump 將會監聽所有協議的信息包。   除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway,broadcast,less,greater。 還有三種邏輯運算,取非運算是 ‘not ' '! ‘,與運算是’and’,’&&',或運算是’or’。   3)例如,監控8012端口上的TCP包: [root@bogon ~]# tcpdump -nn -n dst port 8012 and tcp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 13:17:19.728118 IP 10.25.1.41.58755 > 192.168.195.146.8012: Flags [.], ack 4530972, win 255, length 0 13:17:20.086680 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [S], seq 2652586086, win 8192, options [mss 1367,nop,wscale 8,nop,nop,sackOK], length 0 13:17:20.095037 IP 10.25.1.41.58755 > 192.168.195.146.8012: Flags [F.], seq 0, ack 1, win 255, length 0 13:17:20.122483 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [.], ack 56813455, win 259, length 0 13:17:20.123865 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [P.], seq 0:394, ack 1, win 259, length 394 13:17:20.244773 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [P.], seq 394:679, ack 727, win 256, length 285 13:17:20.284014 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [.], ack 850, win 255, length 0 ^C 7 packets captured 7 packets received by filter 0 packets dropped by kernel   其他常用參數組合如下: [html] view plaincopy 下面的例子全是以抓取eth0接口為例,如果不加”-i eth0”是表示抓取所有的接口包括lo。   首先安裝tcpdump包:yum install -y tcpdump       1、抓取包含172.16.1.122的數據包   # tcpdump -i eth0 -vnn host 172.16.1.122       2、抓取包含172.16.1.0/24網段的數據包   # tcpdump -i eth0 -vnn net 172.16.1.0/24       3、抓取包含端口22的數據包   # tcpdump -i eth0 -vnn port 22       4、抓取udp協議的數據包   # tcpdump -i eth0 -vnn  udp       5、抓取icmp協議的數據包   # tcpdump -i eth0 -vnn icmp      6、抓取arp協議的數據包   # tcpdump -i eth0 -vnn arp       7、抓取ip協議的數據包   # tcpdump -i eth0 -vnn ip       8、抓取源ip是172.16.1.122數據包。   # tcpdump -i eth0 -vnn src host 172.16.1.122       9、抓取目的ip是172.16.1.122數據包   # tcpdump -i eth0 -vnn dst host 172.16.1.122       10、抓取源端口是22的數據包   # tcpdump -i eth0 -vnn src port 22       11、抓取源ip是172.16.1.253且目的ip是22的數據包   # tcpdump -i eth0 -vnn src host 172.16.1.253 and dst port 22                     12、抓取源ip是172.16.1.122或者包含端口是22的數據包   # tcpdump -i eth0 -vnn src host 172.16.1.122 or port 22       13、抓取源ip是172.16.1.122且端口不是22的數據包   [root@ ftp]# tcpdump -i eth0 -vnn src host 172.16.1.122 and not port 22      14、抓取源ip是172.16.1.2且目的端口是22,或源ip是172.16.1.65且目的端口是80的數據包。   # tcpdump -i eth0 -vnn \( src host 172.16.1.2 and dst port 22 \) or   \( src host 172.16.1.65 and dst port 80 \)       15、抓取源ip是172.16.1.59且目的端口是22,或源ip是172.16.1.68且目的端口是80的數據包。   # tcpdump -i  eth0 -vnn 'src host 172.16.1.59 and dst port 22' or  ' src host 172.16.1.68 and dst port 80 '       16、把抓取的數據包記錄存到/tmp/fill文件中,當抓取100個數據包後就退出程序。   # tcpdump –i eth0 -vnn -w  /tmp/fil1 -c 100       17、從/tmp/fill記錄中讀取tcp協議的數據包   # tcpdump –i eth0 -vnn -r  /tmp/fil1 tcp       18、從/tmp/fill記錄中讀取包含172.16.1.58的數據包   # tcpdump –i eth0 -vnn -r  /tmp/fil1 host  172.16.1.58       2.Netstat命令   1)所有參數如下,常用參數用紅色標記:   -a或--all   顯示所有連線中的Socket,例如已建立連接(ESTABLISHED),監聽連接請求(LISTENING)等。   -A<網絡類型>或--<網絡類型>   列出該網絡類型連線中的相關地址。   -c或--continuous   持續列出網絡狀態。   -C或--cache   顯示路由器配置的快取信息。   -e或--extend   顯示網絡其他相關信息。   -F或--fib   顯示FIB。   -g或--groups   顯示多重廣播功能群組組員名單。   -h或--help   在線幫助。   -i或--interfaces   顯示網絡界面信息表單。   -l或--listening   顯示監控中的服務器的Socket。   -M或--masquerade   顯示偽裝的網絡連線。   -n或--numeric   直接使用IP地址,而不通過域名服務器。   -N或--netlink或--symbolic   顯示網絡硬件外圍設備的符號連接名稱。   -o或--timers   顯示計時器。   -p或--programs   顯示正在使用Socket的程序識別碼和程序名稱。   -r或--route   顯示Routing Table。   -s或--statistice   顯示網絡工作信息統計表。   -t或--tcp   顯示TCP傳輸協議的連線狀況。   -u或--udp   顯示UDP傳輸協議的連線狀況。   -v或--verbose   顯示指令執行過程。   -V或--version   顯示版本信息。   -w或--raw   顯示RAW傳輸協議的連線狀況。   -x或--unix   此參數的效果和指定"-A unix"參數相同。   --ip或--inet   此參數的效果和指定"-A inet"參數相同。   2)執行:netstat -anltpu 輸出結果: Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name  tcp        0      0 127.0.0.1:2208              0.0.0.0:*                   LISTEN      3226/hpiod         tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      3411/mysqld        tcp        0      0 0.0.0.0:1002                0.0.0.0:*                   LISTEN      2940/rpc.statd     tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      2883/portmap       tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      3259/cupsd         tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      3453/sendmail: acce tcp        0      0 127.0.0.1:2207              0.0.0.0:*                   LISTEN      3231/python        tcp        0      0 202.102.240.93:3306         122.207.210.12:1750         ESTABLISHED 3411/mysqld        tcp        0      0 202.102.240.93:3306         122.207.210.12:1748         ESTABLISHED 3411/mysqld        tcp        0      0 202.102.240.93:3306         202.102.240.93:59141        ESTABLISHED 3411/mysqld        tcp        0      0 202.102.240.93:59141        202.102.240.93:3306         ESTABLISHED 7059/httpd    其他常用組合有:-nltp只查看LISTEN狀態的TCP連接的程序。   3)可以借助watch命令或netstat的-c參數,幫助我們實時監控某個進程的網絡狀況:      watch -n 1 -d "netstat -anpo | grep "php-fpm"" 輸出結果: tcp        0      0 192.168.195.145:48467       192.168.198.52:6379         ESTABLISHED 27908/php-fpm       off (0.00/0/0) tcp        0      0 192.168.195.145:39178       192.168.195.145:3306        ESTABLISHED 27908/php-fpm       keepalive (7197.09/0/0) unix  2      [ ACC ]     STREAM     LISTENING     2449287 27901/php-fpm       /dev/shm/php-fcgi.sock unix  3      [ ]         STREAM     CONNECTED     2450180 27908/php-fpm       /dev/shm/php-fcgi.sock unix  3      [ ]         STREAM     CONNECTED     2449286 27901/php-fpm unix  3      [ ]         STREAM     CONNECTED     2449285 27901/php-fpm
Copyright © Linux教程網 All Rights Reserved