Linux常用網絡命令整理

Linux常用網絡命令整理 Linux上有一些非常常用的命令，來幫助我們監控網絡狀況。 1.Tcpdump命令 tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾， 並提供and、or、not等邏輯語句來幫助你去掉無用的信息。 1）所有參數及含義： -A 以ASCII格式打印出所有分組，並將鏈路層的頭最小化。 -c 在收到指定的數量的分組後，tcpdump就會停止。 -C 在將一個原始分組寫入文件之前，檢查文件當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小，則關閉當前文件，然後在打開一個新的文件。參數 file_size 的單位是兆字節（是1,000,000字節，而不是1,048,576字節）。 -d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。 -dd 將匹配信息包的代碼以c語言程序段的格式給出。 -ddd 將匹配信息包的代碼以十進制的形式給出。 -D 打印出系統中所有可以用tcpdump截包的網絡接口。 -e 在輸出行打印出數據鏈路層的頭部信息。 -E 用spi@ipaddr algo:secret解密那些以addr作為地址，並且包含了安全參數索引值spi的IPsec ESP分組。 -f 將外部的Internet地址以數字的形式打印出來。 -F 從指定的文件中讀取表達式，忽略命令行中給出的表達式。 -i 指定監聽的網絡接口，多網卡時很有用。 -l 使標准輸出變為緩沖行形式，可以把數據導出到文件。 -L 列出網絡接口的已知數據鏈路。 -m 從文件module中導入SMI MIB模塊定義。該參數可以被使用多次，以導入多個MIB模塊。 -M 如果tcp報文中存在TCP-MD5選項，則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要（詳情可參考RFC 2385）。 -b 在數據-鏈路層上選擇協議，包括ip、arp、rarp、ipx都是這一層的。 -n 不把網絡地址轉換成名字。 -nn 不進行端口名稱的轉換，即不進行域名解析。 -N 不輸出主機名中的域名部分。例如，‘nic.ddn.mil‘只輸出’nic‘。 -t 在輸出的每一行不打印時間戳。 -O 不運行分組分組匹配（packet-matching）代碼優化程序。 -P 不將網絡接口設置成混雜模式。 -q 快速輸出。只輸出較少的協議信息。 -r 從指定的文件中讀取包(這些包一般通過-w選項產生)。 -S 將tcp的序列號以絕對值形式輸出，而不是相對值。 -s 從每個分組中讀取最開始的snaplen個字節，而不是默認的68個字節。 -T 將監聽到的包直接解釋為指定的類型的報文，常見的類型有rpc遠程過程調用）和snmp（簡單網絡管理協議；）。 -t 不在每一行中輸出時間戳。 -tt 在每一行中輸出非格式化的時間戳。 -ttt 輸出本行和前面一行之間的時間差。 -tttt 在每一行中輸出由date處理的默認格式的時間戳。 -u 輸出未解碼的NFS句柄。 -v 輸出一個稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息。 -vv 輸出詳細的報文信息。 -w 直接將分組寫入文件中，而不是不分析並打印出來，保存到文件時很有用。 -X 顯示數據包內容，格式為十六進制。 2）Tcpdump表達式 表達式是一個正則表達式，tcpdump利用它作為過濾報文的條件，如果一個報文滿足表達式的條件，則這個報文將會被捕獲。 如果沒有給出任何條件，則網絡上所有的信息包將會被截獲。在表達式中一般如下幾種類型的關鍵字： 第一種是關於類型的關鍵字，主要包括host，net，port。 例如host 210.27.48.2，指明 210.27.48.2是一台主機，net 202.0.0.0指明202.0.0.0是一個網絡地址，port 23 指明端口號是23。如果沒有指定類型，缺省的類型是host。 第二種是確定傳輸方向的關鍵字，主要包括src，dst，dst or src，dst and src。 這些關鍵字指明了傳輸的方向。舉例說明，src 210.27.48.2指明ip包中源地址是 210.27.48.2，dst net 202.0.0.0指明目的網絡地址是202.0.0.0。 如果沒有指明方向關鍵字，則缺省是src or dst關鍵字。 第三種是協議的關鍵字，主要包括fddi，ip，arp，rarp，tcp，udp等類型。 如果沒有指定任何協議，則tcpdump 將會監聽所有協議的信息包。 除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway，broadcast，less，greater。 還有三種邏輯運算，取非運算是 ‘not ' '! ‘，與運算是’and’，’&&'，或運算是’or’。 3）例如，監控8012端口上的TCP包： [root@bogon ~]# tcpdump -nn -n dst port 8012 and tcp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 13:17:19.728118 IP 10.25.1.41.58755 > 192.168.195.146.8012: Flags [.], ack 4530972, win 255, length 0 13:17:20.086680 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [S], seq 2652586086, win 8192, options [mss 1367,nop,wscale 8,nop,nop,sackOK], length 0 13:17:20.095037 IP 10.25.1.41.58755 > 192.168.195.146.8012: Flags [F.], seq 0, ack 1, win 255, length 0 13:17:20.122483 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [.], ack 56813455, win 259, length 0 13:17:20.123865 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [P.], seq 0:394, ack 1, win 259, length 394 13:17:20.244773 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [P.], seq 394:679, ack 727, win 256, length 285 13:17:20.284014 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [.], ack 850, win 255, length 0 ^C 7 packets captured 7 packets received by filter 0 packets dropped by kernel 其他常用參數組合如下： [html] view plaincopy 下面的例子全是以抓取eth0接口為例，如果不加”-i eth0”是表示抓取所有的接口包括lo。 首先安裝tcpdump包：yum install -y tcpdump 1、抓取包含172.16.1.122的數據包 # tcpdump -i eth0 -vnn host 172.16.1.122 2、抓取包含172.16.1.0/24網段的數據包 # tcpdump -i eth0 -vnn net 172.16.1.0/24 3、抓取包含端口22的數據包 # tcpdump -i eth0 -vnn port 22 4、抓取udp協議的數據包 # tcpdump -i eth0 -vnn udp 5、抓取icmp協議的數據包 # tcpdump -i eth0 -vnn icmp 6、抓取arp協議的數據包 # tcpdump -i eth0 -vnn arp 7、抓取ip協議的數據包 # tcpdump -i eth0 -vnn ip 8、抓取源ip是172.16.1.122數據包。 # tcpdump -i eth0 -vnn src host 172.16.1.122 9、抓取目的ip是172.16.1.122數據包 # tcpdump -i eth0 -vnn dst host 172.16.1.122 10、抓取源端口是22的數據包 # tcpdump -i eth0 -vnn src port 22 11、抓取源ip是172.16.1.253且目的ip是22的數據包 # tcpdump -i eth0 -vnn src host 172.16.1.253 and dst port 22 12、抓取源ip是172.16.1.122或者包含端口是22的數據包 # tcpdump -i eth0 -vnn src host 172.16.1.122 or port 22 13、抓取源ip是172.16.1.122且端口不是22的數據包 [root@ ftp]# tcpdump -i eth0 -vnn src host 172.16.1.122 and not port 22 14、抓取源ip是172.16.1.2且目的端口是22，或源ip是172.16.1.65且目的端口是80的數據包。 # tcpdump -i eth0 -vnn \( src host 172.16.1.2 and dst port 22 \) or \( src host 172.16.1.65 and dst port 80 \) 15、抓取源ip是172.16.1.59且目的端口是22，或源ip是172.16.1.68且目的端口是80的數據包。 # tcpdump -i eth0 -vnn 'src host 172.16.1.59 and dst port 22' or ' src host 172.16.1.68 and dst port 80 ' 16、把抓取的數據包記錄存到/tmp/fill文件中，當抓取100個數據包後就退出程序。 # tcpdump –i eth0 -vnn -w /tmp/fil1 -c 100 17、從/tmp/fill記錄中讀取tcp協議的數據包 # tcpdump –i eth0 -vnn -r /tmp/fil1 tcp 18、從/tmp/fill記錄中讀取包含172.16.1.58的數據包 # tcpdump –i eth0 -vnn -r /tmp/fil1 host 172.16.1.58 2.Netstat命令 1）所有參數如下，常用參數用紅色標記： -a或--all 顯示所有連線中的Socket，例如已建立連接（ESTABLISHED），監聽連接請求（LISTENING）等。 -A<網絡類型>或--<網絡類型> 列出該網絡類型連線中的相關地址。 -c或--continuous 持續列出網絡狀態。 -C或--cache 顯示路由器配置的快取信息。 -e或--extend 顯示網絡其他相關信息。 -F或--fib 顯示FIB。 -g或--groups 顯示多重廣播功能群組組員名單。 -h或--help 在線幫助。 -i或--interfaces 顯示網絡界面信息表單。 -l或--listening 顯示監控中的服務器的Socket。 -M或--masquerade 顯示偽裝的網絡連線。 -n或--numeric 直接使用IP地址，而不通過域名服務器。 -N或--netlink或--symbolic 顯示網絡硬件外圍設備的符號連接名稱。 -o或--timers 顯示計時器。 -p或--programs 顯示正在使用Socket的程序識別碼和程序名稱。 -r或--route 顯示Routing Table。 -s或--statistice 顯示網絡工作信息統計表。 -t或--tcp 顯示TCP傳輸協議的連線狀況。 -u或--udp 顯示UDP傳輸協議的連線狀況。 -v或--verbose 顯示指令執行過程。 -V或--version 顯示版本信息。 -w或--raw 顯示RAW傳輸協議的連線狀況。 -x或--unix 此參數的效果和指定"-A unix"參數相同。 --ip或--inet 此參數的效果和指定"-A inet"參數相同。 2）執行：netstat -anltpu 輸出結果： Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:2208 0.0.0.0:* LISTEN 3226/hpiod tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 3411/mysqld tcp 0 0 0.0.0.0:1002 0.0.0.0:* LISTEN 2940/rpc.statd tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2883/portmap tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 3259/cupsd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3453/sendmail: acce tcp 0 0 127.0.0.1:2207 0.0.0.0:* LISTEN 3231/python tcp 0 0 202.102.240.93:3306 122.207.210.12:1750 ESTABLISHED 3411/mysqld tcp 0 0 202.102.240.93:3306 122.207.210.12:1748 ESTABLISHED 3411/mysqld tcp 0 0 202.102.240.93:3306 202.102.240.93:59141 ESTABLISHED 3411/mysqld tcp 0 0 202.102.240.93:59141 202.102.240.93:3306 ESTABLISHED 7059/httpd 其他常用組合有：-nltp只查看LISTEN狀態的TCP連接的程序。 3）可以借助watch命令或netstat的-c參數，幫助我們實時監控某個進程的網絡狀況： watch -n 1 -d "netstat -anpo | grep "php-fpm"" 輸出結果： tcp 0 0 192.168.195.145:48467 192.168.198.52:6379 ESTABLISHED 27908/php-fpm off (0.00/0/0) tcp 0 0 192.168.195.145:39178 192.168.195.145:3306 ESTABLISHED 27908/php-fpm keepalive (7197.09/0/0) unix 2 [ ACC ] STREAM LISTENING 2449287 27901/php-fpm /dev/shm/php-fcgi.sock unix 3 [ ] STREAM CONNECTED 2450180 27908/php-fpm /dev/shm/php-fcgi.sock unix 3 [ ] STREAM CONNECTED 2449286 27901/php-fpm unix 3 [ ] STREAM CONNECTED 2449285 27901/php-fpm