今天浩道跟大家分享linux網(wǎng)絡(luò)運(yùn)維中常見的命令,掌握好這些命令,在排查故障時(shí)將會游刃有余!
tcpdump和ethereal可以用來獲取和分析網(wǎng)絡(luò)通訊活動(dòng),他們都是使用libpcap庫來捕獲網(wǎng)絡(luò)封包的。
在混雜模式下他們可以監(jiān)控網(wǎng)絡(luò)適配器的所有通訊活動(dòng)并捕獲網(wǎng)卡所接收的所有幀。
要想設(shè)置網(wǎng)絡(luò)接口為混雜模式并執(zhí)行這些命令來捕獲所有的網(wǎng)絡(luò)封包,需要具有超級用戶的權(quán)限。
你可以使用這些工具來探究網(wǎng)絡(luò)相關(guān)問題。你可以發(fā)現(xiàn)TCP/IP重發(fā)、窗口大小的縮放、名字解析的問題、網(wǎng)絡(luò)配置錯(cuò)誤等。
注意這些工具只能監(jiān)控網(wǎng)絡(luò)適配器所接收到的幀,并不能監(jiān)控到整個(gè)網(wǎng)絡(luò)的通訊情況。
參數(shù)介紹:
-A 以ASCII格式打印出所有分組,并將鏈路層的頭最小化。
-c 在收到指定的數(shù)量的分組后,tcpdump就會停止。
-C 在將一個(gè)原始分組寫入文件之前,檢查文件當(dāng)前的大小是否超過了參數(shù)file_size
中指定的大小。如果超過了指定大小,則關(guān)閉當(dāng)前文件,然后在打開一個(gè)新的文件。參數(shù) file_size
的單位是兆字節(jié)(是1,000,000字節(jié),而不是1,048,576字節(jié))。
-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。
-dd 將匹配信息包的代碼以c語言程序段的格式給出。
-ddd 將匹配信息包的代碼以十進(jìn)制的形式給出。
-D 打印出系統(tǒng)中所有可以用tcpdump截包的網(wǎng)絡(luò)接口。
-e 在輸出行打印出數(shù)據(jù)鏈路層的頭部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作為地址,并且包含了安全參數(shù)索引值spi的IPsec ESP分組。
-f 將外部的Internet地址以數(shù)字的形式打印出來。
-F 從指定的文件中讀取表達(dá)式,忽略命令行中給出的表達(dá)式。
-i 指定監(jiān)聽的網(wǎng)絡(luò)接口。
-l 使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式。
-L 列出網(wǎng)絡(luò)接口的已知數(shù)據(jù)鏈路。
-m 從文件module中導(dǎo)入SMI MIB模塊定義。該參數(shù)可以被使用多次,以導(dǎo)入多個(gè)MIB模塊。
-M 如果tcp報(bào)文中存在TCP-MD5選項(xiàng),則需要用secret作為共享的驗(yàn)證碼用于驗(yàn)證TCP-MD5選選項(xiàng)摘要(詳情可參考RFC 2385)。
-n 不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字。
-N 不輸出主機(jī)名中的域名部分。例如,link.linux265.com 只輸出link。
-t 在輸出的每一行不打印時(shí)間戳。
-O 不運(yùn)行分組分組匹配(packet-matching)代碼優(yōu)化程序。
-P 不將網(wǎng)絡(luò)接口設(shè)置成混雜模式。
-q 快速輸出。只輸出較少的協(xié)議信息。
-r 從指定的文件中讀取包(這些包一般通過-w選項(xiàng)產(chǎn)生)。
-S 將tcp的序列號以絕對值形式輸出,而不是相對值。
-s 從每個(gè)分組中讀取最開始的snaplen個(gè)字節(jié),而不是默認(rèn)的68個(gè)字節(jié)。
-T 將監(jiān)聽到的包直接解釋為指定的類型的報(bào)文,常見的類型有rpc遠(yuǎn)程過程調(diào)用)和snmp(簡單網(wǎng)絡(luò)管理協(xié)議;)。
-t 不在每一行中輸出時(shí)間戳。
-tt 在每一行中輸出非格式化的時(shí)間戳。
-ttt 輸出本行和前面一行之間的時(shí)間差。
-tttt 在每一行中輸出由date處理的默認(rèn)格式的時(shí)間戳。
-u 輸出未解碼的NFS句柄。
-v 輸出一個(gè)稍微詳細(xì)的信息,例如在ip包中可以包括ttl和服務(wù)類型的信息。
-vv 輸出詳細(xì)的報(bào)文信息。
-w 直接將分組寫入文件中,而不是不分析并打印出來。
-x 以16進(jìn)制數(shù)形式顯示每一個(gè)報(bào)文 (去掉鏈路層報(bào)頭) . 可以顯示較小的完整報(bào)文, 否則只顯示snaplen個(gè)字節(jié).
-xx 以16進(jìn)制數(shù)形式顯示每一個(gè)報(bào)文(包含鏈路層包頭)。
-X 以16進(jìn)制和ASCII碼形式顯示每個(gè)報(bào)文(去掉鏈路層報(bào)頭)。
-XX 以16進(jìn)制和ASCII嗎形式顯示每個(gè)報(bào)文(包含鏈路層報(bào)頭)。
-y 設(shè)置tcpdump 捕獲數(shù)據(jù)鏈路層協(xié)議類型
-Z 使tcpdump 放棄自己的超級權(quán)限(如果以root用戶啟動(dòng)tcpdump, tcpdump將會有超級用戶權(quán)限), 并把當(dāng)前tcpdump的用戶ID設(shè)置為user, 組ID設(shè)置為user首要所屬組的ID
舉例:
01、抓取所有網(wǎng)絡(luò)包,并在terminal中顯示抓取的結(jié)果,將包以十六進(jìn)制的形式顯示。
tcpdump
02、抓取所有的網(wǎng)絡(luò)包,并存到 result.cap 文件中。
tcpdump-wresult.cap
03、抓取所有的經(jīng)過eth0網(wǎng)卡的網(wǎng)絡(luò)包,并存到 result.cap 文件中。
tcpdump-ieth0-wresult.cap
04、抓取源地址是192.168.1.100的包,并將結(jié)果保存到 result.cap 文件中。
tcpdumpsrchost192.168.1.100-wresult.cap
05、抓取地址包含是192.168.1.100的包,并將結(jié)果保存到 result.cap 文件中。
tcpdumphost192.168.1.100-wresult.cap
06、抓取目的地址包含是192.168.1.100的包,并將結(jié)果保存到 result.cap 文件中。
tcpdumpdesthost192.168.1.100-wresult.cap
07、抓取主機(jī)地址為192.168.1.100的數(shù)據(jù)包
tcpdump-ieth0-vnnhost192.168.1.100
08、抓取包含192.168.1.0/24網(wǎng)段的數(shù)據(jù)包
tcpdump-ieth0-vnnnet192.168.1.0/24
09、抓取網(wǎng)卡eth0上所有包含端口22的數(shù)據(jù)包
tcpdump-ieth0-vnnport22
10、抓取指定協(xié)議格式的數(shù)據(jù)包,協(xié)議格式可以是「udp,icmp,arp,ip」中的任何一種,例如以下命令:
tcpdumpudp-ieth0-vnn
11、抓取經(jīng)過eth0網(wǎng)卡的源ip是192.168.1.100數(shù)據(jù)包,src參數(shù)表示源。
tcpdump-ieth0-vnnsrchost192.168.1.100
12、抓取經(jīng)過eth0網(wǎng)卡目的ip是192.168.1.100數(shù)據(jù)包,dst參數(shù)表示目的。
tcpdump-ieth0-vnndsthost192.168.1.100
13、抓取源端口是22的數(shù)據(jù)包
tcpdump-ieth0-vnnsrcport22
14、抓取源ip是192.168.1.100且目的ip端口是22的數(shù)據(jù)包
tcpdump-ieth0-vnnsrchost192.168.1.100anddstport22
15、抓取源ip是192.168.1.100或者包含端口是22的數(shù)據(jù)包
tcpdump-ieth0-vnnsrchost192.168.1.100orport22
16、抓取源ip是192.168.1.100且端口不是22的數(shù)據(jù)包
tcpdump-ieth0-vnnsrchost192.168.1.100andnotport22
17、抓取源ip是192.168.1.100且目的端口是22,或源ip是192.168.1.102且目的端口是80的數(shù)據(jù)包。
tcpdump-ieth0-vnn(srchost192.168.1.100anddstport22)or(srchost192.168.1.102anddstport80)
18、把抓取的數(shù)據(jù)包記錄存到/tmp/result文件中,當(dāng)抓取100個(gè)數(shù)據(jù)包后就退出程序。
tcpdump–ieth0-vnn-w/tmp/result-c100
19、從/tmp/result記錄中讀取tcp協(xié)議的數(shù)據(jù)包
tcpdump-ieth0tcp-vnn-r/tmp/result
20、想要截獲所有192.168.1.100的主機(jī)收到的和發(fā)出的所有的數(shù)據(jù)包:
tcpdumphost192.168.1.100
21、如果想要獲取主機(jī)192.168.1.100除了和主機(jī)192.168.1.101之外所有主機(jī)通信的ip包,使用命令:
tcpdumpiphost192.168.1.100and!192.168.1.101
22、如果想要獲取主機(jī)192.168.1.100接收或發(fā)出的 telnet 包,使用如下命令:
tcpdumptcpport23host192.168.1.100
#查看http請求的header
tcpdump-s1024-l-A-nhost192.168.9.56
tcpdump-s1024-l-Asrc192.168.9.56ordst192.168.9.56
sudotcpdump-A-s1492dstport80
#本地網(wǎng)絡(luò)中IP地址為192.168.0.5的主機(jī)現(xiàn)在與外界通信的情況
sudotcpdump-ieth0srchost192.168.0.5
#查看網(wǎng)卡eth0的http請求的tcp包
tcpdump-ieth0porthttp
tcpdump-ieth0porthttporportsmtporportimaporportpop3-l-A|egrep-i'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass|user'
#查看tcp,upd,icmp非ssh的包
tcpdump-n-vtcporudporicmpandnotport22
#查看http請求的request包
sudotcpdump-ieth0port80-w-
#過濾http響應(yīng)的gethost頭信息
sudotcpdump-ien1-n-s0-w-|grep-a-o-E"GET/.*|Host:.*"
#DNS查詢請求響應(yīng)包
sudotcpdump-ien0'udpport53'
#nmap-sP指定使用Pingecho進(jìn)行掃描/24查看目的網(wǎng)絡(luò)有多少主機(jī)處于運(yùn)行狀態(tài)
nmap-sP192.168.0.1
nmap-sP192.168.0.0/24
nmap-Owww.baidu.com
#Netstat主要用于Linux/Unix主機(jī)察看自身的網(wǎng)絡(luò)狀況,如開啟的端口、在為哪些用戶服務(wù)以及服務(wù)的狀態(tài)
netstat-a
netstat-nlp
#netcat掃描機(jī)器開放的端口
nc-z-v-n172.31.100.721-25
#netcat 命令會連接開放端口21并且打印運(yùn)行在這個(gè)端口上服務(wù)的banner信息。
nc-v172.31.100.721
#輸出網(wǎng)絡(luò)的路由表
route
#顯示結(jié)果包括服務(wù)器已經(jīng)運(yùn)行了多長時(shí)間,有多少登陸用戶和對服務(wù)器性能的總體評估(load average)。
uptime
#監(jiān)控eth1的網(wǎng)卡的流量
iftop-ieth1
#以位元組(bytes即字節(jié))為單位顯示流量(預(yù)設(shè)是位元bits):
iftop-B
#直接顯示IP,不進(jìn)行DNS反解:
iftop-n
#直接顯示連接埠編號,不顯示服務(wù)名稱:
iftop-N
#顯示某個(gè)網(wǎng)段進(jìn)出封包流量
iftop-F192.168.1.0/24or192.168.1.0/255.255.255.0
#網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控工具之nload,查看網(wǎng)卡eth0的流量
nload-neth0
#查看各個(gè)網(wǎng)卡的流量
nload-h
#IPTraf是一個(gè)網(wǎng)絡(luò)監(jiān)控工具,功能比nload更強(qiáng)大,可以監(jiān)控所有的流量,IP流量,按協(xié)議分的流量,還可以設(shè)置過濾器
iptraf
#查看網(wǎng)絡(luò)接口當(dāng)前配置與接口命名:
ifconfig
#打開(up)或關(guān)閉(down)適配器
ifconfig<網(wǎng)絡(luò)名>
#為適配器分配IP地址:
ifconfig<網(wǎng)絡(luò)名>
#為適配器分配第二個(gè)IP地址:
ifconfig<網(wǎng)絡(luò)名:實(shí)例數(shù)>
#顯示某個(gè)網(wǎng)絡(luò)適配器的驅(qū)動(dòng)信息,適用于查詢軟件兼容性的情況:
ethtool-ieth0
#顯示網(wǎng)絡(luò)數(shù)據(jù):
ethtool-S
#設(shè)置適配器連接速度(Mbps)
ethtoolspeed<10|100|1000>
#iwconfig 查基本的Wi-Fi網(wǎng)絡(luò)設(shè)置,如SSID、channel和加密等細(xì)節(jié)。此外還可以修改一些高級設(shè)置,包括接收敏感度,RTS/CTS,碎片,以及重試數(shù)
#顯示當(dāng)前無線設(shè)置,包括接口名稱:
iwconfig
#設(shè)置ESSID(擴(kuò)展服務(wù)設(shè)置識別器)或網(wǎng)絡(luò)名:
iwconfig<接口名>essid<網(wǎng)絡(luò)名>
#wget
wget-S--spiderhttp://osswin.sourceforge.net/2>&1|grepMod
#查看mac地址
cat/sys/class/net/*/address
#查看eth0的ip
ifconfigeth0|awk'/inetaddr/{split($2,A,":");printA[2]}'
#curl查看頁面對應(yīng)的domailname
curl-shttp://en.m.wikipedia.org/wiki/List_of_Internet_top-level_domains|sed-n'/<trvalign="top">/{s/<[^>]*>//g;p}'
#talnet
telnetlocalhost6666
#查看所有的網(wǎng)絡(luò)接口
awk'{print$1}'/proc/net/dev|grep:|sed"s/:.*//g"
#查看DNSserver版本好
nslookup-q=txt-class=CHAOSversion.bindNS.PHX5.NEARLYFREESPEECH.NET
審核編輯 :李倩
-
適配器
+關(guān)注
關(guān)注
8文章
1889瀏覽量
67586 -
Linux
+關(guān)注
關(guān)注
87文章
11123瀏覽量
207912 -
網(wǎng)絡(luò)通訊
+關(guān)注
關(guān)注
0文章
72瀏覽量
11225
原文標(biāo)題:掌握這些linux網(wǎng)絡(luò)排查命令,故障排查不求人!
文章出處:【微信號:浩道linux,微信公眾號:浩道linux】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論