Linux常用網路命令整理

1.Tcpdump命令
1）所有參數及含義：-A 以ASCII格式列印出所有分組，並將鏈路層的頭最小化。
-c 在收到指定的數量的分組後，tcpdump就會停止。
-C 在將一個原始分組寫入檔案之前，檢查檔案當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小，則關閉當前檔案，然後在開啟一個新的檔案。參數 file_size 的單位是MB（是1,000,000位元組，而不是1,048,576位元組）。
-d 將匹配資訊包的代碼以人們能夠理解的彙編格式給出。
-dd 將匹配資訊包的代碼以c語言程式段的格式給出。
-ddd 將匹配資訊包的代碼以十進位的形式給出。
-D 列印出系統中所有可以用tcpdump截包的網路介面。
-e 在輸出行列印出資料連結層的頭部資訊。
-E 用spi@ipaddr algo:secret解密那些以addr作為地址，並且包含了安全參數索引值spi的IPsec ESP分組。
-f 將外部的Internet地址以數位形式列印出來。
-F 從指定的檔案中讀取運算式，忽略命令列中給出的運算式。
-i 指定監聽的網路介面，多網卡時很有用。
-l 使標準輸出變為緩衝行形式，可以把資料匯出到檔案。
-L 列出網路介面的已知資料鏈路。
-m 從檔案module中匯入SMI MIB模組定義。該參數可以被使用多次，以匯入多個MIB模組。
-M 如果tcp報文中存在TCP-MD5選項，則需要用secret作為共用的驗證碼用於驗證TCP-MD5選選項摘要（詳情可參考RFC 2385）。
-b 在資料-鏈路層上選擇協議，包括ip、arp、rarp、ipx都是這一層的。
-n 不把網路位址轉譯成名字。
-nn 不進行連接埠名稱的轉換，即不進行網域名稱解析。
-N 不輸出主機名稱中的網域名稱部分。例如，‘nic.ddn.mil‘只輸出’nic‘。
-t 在輸出的每一行不列印時間戳記。
-O 不運行分組分組匹配（packet-matching）代碼最佳化程式。
-P 不將網路介面設定成混雜模式。
-q 快速輸出。只輸出較少的協議資訊。
-r 從指定的檔案中讀取包(這些包一般通過-w選項產生)。
-S 將tcp的序號以絕對值形式輸出，而不是相對值。
-s 從每個分組中讀取最開始的snaplen個位元組，而不是預設的68個位元組。
-T 將監聽到的包直接解釋為指定的類型的報文，常見的類型有rpc遠端程序呼叫）和snmp（簡易網路管理通訊協定；）。
-t 不在每一行中輸出時間戳記。
-tt 在每一行中輸出非格式化的時間戳記。
-ttt 輸出本行和前面一行之間的時間差。
-tttt 在每一行中輸出由date處理的預設格式的時間戳記。
-u 輸出未解碼的NFS控制代碼。
-v 輸出一個稍微詳細的資訊，例如在ip包中可以包括ttl和服務類型的資訊。
-vv 輸出詳細的報文資訊。
-w 直接將分組寫入檔案中，而不是不分析並列印出來，儲存到檔案時很有用。     -X 顯示資料包內容，格式為十六進位。
2）Tcpdump運算式運算式是一個Regex，tcpdump利用它作為過濾報文的條件，如果一個報文滿足運算式的條件，則這個報文將會被捕獲。
如果沒有給出任何條件，則網路上所有的資訊包將會被截獲。在運算式中一般如下幾種類型的關鍵字： 
第一種是關於類型的關鍵字，主要包括host，net，port。
例如host 210.27.48.2，指明 210.27.48.2是一台主機，net 202.0.0.0指明202.0.0.0是一個網路地址，port 23 指明連接埠號碼是23。如果沒有指定類型，預設的類型是host。 
第二種是確定傳輸方向的關鍵字，主要包括src，dst，dst or src，dst and src。
這些關鍵字指明了傳輸的方向。舉例說明，src 210.27.48.2指明ip包中源地址是 210.27.48.2，dst net 202.0.0.0指明目的網路地址是202.0.0.0。
如果沒有指明方向關鍵字，則預設是src or dst關鍵字。

第三種是協議的關鍵字，主要包括fddi，ip，arp，rarp，tcp，udp等類型。
如果沒有指定任何協議，則tcpdump 將會監聽所有協議的資訊包。

除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway，broadcast，less，greater。
還有三種邏輯運算，取非運算是 ‘not ' '! ‘，與運算是’and’，’&&'，或運算是’or’。
3）例如，監控8012連接埠上的TCP包：[root@bogon ~]# tcpdump -nn -n dst port 8012 and tcp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:17:19.728118 IP 10.25.1.41.58755 > 192.168.195.146.8012: Flags [.], ack 4530972, win 255, length 0
13:17:20.086680 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [S], seq 2652586086, win 8192, options [mss 1367,nop,wscale 8,nop,nop,sackOK], length 0
13:17:20.095037 IP 10.25.1.41.58755 > 192.168.195.146.8012: Flags [F.], seq 0, ack 1, win 255, length 0
13:17:20.122483 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [.], ack 56813455, win 259, length 0
13:17:20.123865 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [P.], seq 0:394, ack 1, win 259, length 394
13:17:20.244773 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [P.], seq 394:679, ack 727, win 256, length 285
13:17:20.284014 IP 10.25.1.41.58757 > 192.168.195.146.8012: Flags [.], ack 850, win 255, length 0
^C
7 packets captured
7 packets received by filter
0 packets dropped by kernel

其他常用參數組合如下：[html] view plaincopy

2.Netstat命令
1）所有參數如下，常用參數用紅色標記：
  -a或--all   顯示所有連線中的Socket，例如 。  -A<網路類型>或--<網路類型>   列出該網路類型連線中的相關地址。
  -c或--continuous   持續列出網路狀態。
  -C或--cache   顯示路由器配置的快取資訊。
  -e或--extend   顯示網路其他相關資訊。
  -F或--fib   顯示FIB。
  -g或--groups   顯示多重廣播功能群組組員名單。
  -h或--help   線上協助。
  -i或--interfaces   顯示網路介面資訊表單。
  -l或--listening   顯示監控中的伺服器的Socket。
  -M或--masquerade   顯示偽裝的網路連線。
  -n或--numeric   直接使用IP地址，而不通過網域名稱伺服器。
  -N或--netlink或--symbolic   顯示網路硬體外圍裝置的符號串連名稱。
  -o或--timers   顯示計時器。
  -p或--programs   顯示正在使用Socket的程式識別碼和程式名稱。
  -r或--route   顯示Routing Table。
  -s或--statistice   顯示網路工作資訊統計表。
  -t或--tcp   顯示TCP傳輸協議的連線狀況。
  
  -v或--verbose   顯示指令執行過程。
  -V或--version   顯示版本資訊。
  -w或--raw   顯示RAW傳輸協議的連線狀況。
  -x或--unix   此參數的效果和指定"-A unix"參數相同。
  --ip或--inet   此參數的效果和指定"-A inet"參數相同。
2）執行：netstat -anltpu輸出結果：
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name 
tcp        0      0 127.0.0.1:2208              0.0.0.0:*                   LISTEN      3226/hpiod        
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      3411/mysqld       
tcp        0      0 0.0.0.0:1002                0.0.0.0:*                   LISTEN      2940/rpc.statd    
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      2883/portmap      
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      3259/cupsd        
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      3453/sendmail: acce
tcp        0      0 127.0.0.1:2207              0.0.0.0:*                   LISTEN      3231/python       
tcp        0      0 202.102.240.93:3306         122.207.210.12:1750         ESTABLISHED 3411/mysqld       
tcp        0      0 202.102.240.93:3306         122.207.210.12:1748         ESTABLISHED 3411/mysqld       
tcp        0      0 202.102.240.93:3306         202.102.240.93:59141        ESTABLISHED 3411/mysqld       
tcp        0      0 202.102.240.93:59141        202.102.240.93:3306         ESTABLISHED 7059/httpd 

其他常用組合有：-nltp只查看LISTEN狀態的TCP串連的程式。
3）可以藉助watch命令或netstat的-c參數，協助我們即時監控某個進程的網路狀況：     watch -n 1 -d "netstat -anpo | grep "php-fpm""輸出結果：
tcp        0      0 192.168.195.145:48467       192.168.198.52:6379         ESTABLISHED 27908/php-fpm       off (0.00/0/0)
tcp        0      0 192.168.195.145:39178       192.168.195.145:3306        ESTABLISHED 27908/php-fpm       keepalive (7197.09/0/0)
unix  2      [ ACC ]     STREAM     LISTENING     2449287 27901/php-fpm       /dev/shm/php-fcgi.sock
unix  3      [ ]         STREAM     CONNECTED     2450180 27908/php-fpm       /dev/shm/php-fcgi.sock
unix  3      [ ]         STREAM     CONNECTED     2449286 27901/php-fpm
unix  3      [ ]         STREAM     CONNECTED     2449285 27901/php-fpm