route
route命令可以查看当前系统的路由表信息,包括默认网关。
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.10.23.2 0.0.0.0 UG 100 0 0 ens33
192.10.12.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
192.10.23.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33
route后的-n选项不会尝试将这些IP地址解析成主机名, 列出速度会比route 快。
ping
使用ping命令来确认能否与网关通信:
# ping -c 5 10.12.13.1
PING 10.1.1.1 (10.1.1.1) 56(84) bytes of data.
64 bytes from 10.12.13.1: icmp_seq=1 ttl=64 time=3.13 ms
64 bytes from 10.12.13.1: icmp_seq=2 ttl=64 time=1.43 ms
64 bytes from 10.12.13.1: icmp_seq=3 ttl=64 time=1.79 ms
64 bytes from 10.12.13.1: icmp_seq=5 ttl=64 time=1.50 ms --- 10.1.1.1 ping statistics --- 5 packets transmitted, 4 received, 20% packet loss, time 4020ms rtt min/avg/max/mdev = 1.436/1.966/3.132/0.686 ms
能ping通说明本机和10.12.13.1网络是通的。
也可以 ping 域名:
# ping -c 4 www.baidu.com
PING www.a.shifen.com (110.242.68.4) 56(84) bytes of data.
64 bytes from 110.242.68.4 (110.242.68.4): icmp_seq=1 ttl=128 time=9.89 ms
64 bytes from 110.242.68.4 (110.242.68.4): icmp_seq=2 ttl=128 time=10.4 ms
64 bytes from 110.242.68.4 (110.242.68.4): icmp_seq=3 ttl=128 time=10.3 ms
64 bytes from 110.242.68.4 (110.242.68.4): icmp_seq=4 ttl=128 time=10.4 ms
--- www.a.shifen.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 9.899/10.284/10.471/0.253 ms
dig
Dig是一个在类Unix命令行模式下查询DNS包括NS记录,A记录,MX记录等相关信息的工具。
# dig www.baidu.com
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> www.baidu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23430
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.baidu.com. IN A
;; ANSWER SECTION:
www.baidu.com. 706 IN CNAME www.a.shifen.com.
www.a.shifen.com. 110 IN A 110.242.68.4
www.a.shifen.com. 110 IN A 110.242.68.3
;; Query time: 3 msec
;; SERVER: 202.106.0.20#53(202.106.0.20)
;; WHEN: Sat Jan 22 10:18:55 CST 2022
;; MSG SIZE rcvd: 90
nslookup
nslookup用于查询DNS的记录,查询域名解析是否正常,在网络故障时用来诊断网络问题。
# nslookup www.baidu.com
Server: 202.106.0.20
Address: 202.106.0.20#53
Non-authoritative answer:
www.baidu.com canonical name = www.a.shifen.com.
Name: www.a.shifen.com
Address: 110.242.68.4
Name: www.a.shifen.com
Address: 110.242.68.3
traceroute
通过traceroute我们可以知道信息从你的计算机到互联网另一端的主机是走的什么路径。当然每次数据包由某一同样的出发点(source)到达某一同样的目的地(destination)走的路径可能会不一样,但基本上来说大部分时候所走的路由是相同的。linux系统中,我们称之为traceroute,在MS Windows中为tracert。traceroute通过发送小的数据包到目的设备直到其返回,来测量其需要多长时间。一条路径上的每个设备traceroute要测3次。输出结果中包括每次测试的时间(ms)和设备的名称(如有的话)及其IP地址。
在大多数情况下,我们会在linux主机系统下,直接执行命令行:
traceroute hostname
而在Windows系统下是执行tracert的命令:
tracert hostname
# traceroute www.baidu.com
traceroute to www.baidu.com (61.135.169.125), 30 hops max, 40 byte packets
1 192.168.74.2 (192.168.74.2) 2.606 ms 2.771 ms 2.950 ms
2 211.151.56.57 (211.151.56.57) 0.596 ms 0.598 ms 0.591 ms
3 211.151.227.206 (211.151.227.206) 0.546 ms 0.544 ms 0.538 ms
4 210.77.139.145 (210.77.139.145) 0.710 ms 0.748 ms 0.801 ms
5 202.106.42.101 (202.106.42.101) 6.759 ms 6.945 ms 7.107 ms
6 61.148.154.97 (61.148.154.97) 718.908 ms * bt-228-025.bta.net.cn (202.106.228.25) 5.177 ms
7 124.65.58.213 (124.65.58.213) 4.343 ms 4.336 ms 4.367 ms
8 202.106.35.190 (202.106.35.190) 1.795 ms 61.148.156.138 (61.148.156.138) 1.899 ms 1.951 ms
9 * * *
30 * * *
说明:
记录按序列号从1开始,每个纪录就是一跳 ,每跳表示一个网关,我们看到每行有三个时间,单位是 ms,其实就是-q的默认参数。探测数据包向每个网关发送三个数据包后,网关响应后返回的时间;如果您用 traceroute -q 4 www.baidu.com ,表示向每个网关发送4个数据包。
有时我们traceroute 一台主机时,会看到有一些行是以 * 表示的。出现这样的情况,可能是防火墙封掉了ICMP的返回信息,所以我们得不到什么相关的数据包返回数据。
有时我们在某一网关处延时比较长,有可能是某台网关比较阻塞,也可能是物理设备本身的原因。当然如果某台DNS出现问题时,不能解析主机名、域名时,也会 有延时长的现象;您可以加-n 参数来避免DNS解析,以IP格式输出数据。
如果在局域网中的不同网段之间,我们可以通过traceroute 来排查问题所在,是主机的问题还是网关的问题。如果我们通过远程来访问某台服务器遇到问题时,我们用到traceroute 追踪数据包所经过的网关,提交IDC服务商,也有助于解决问题;
telnet/nmap
telnet 协议是 TCP/IP 协议族中的一员,是 Internet 远程登陆服务的标准协议和主要方式。
具体用法格式如下:
# telnet serverIP port
例如:
//连接一个存在的端口,连接成功
# telnet 10.198.25.126 5546
Trying 10.198.25.126...
Connected to 10.198.25.126.
Escape character is '^]'.
//连接一个不存在的端口,连接被拒绝
# telnet 10.198.25.126 1234
Trying 10.198.25.126...
telnet: connect to address 10.198.25.126: Connection refused
//连接一个不存在的网络,出现超时
# telnet 10.198.25.13 6
Trying 10.198.25.13...
telnet:connected to 10.198.25.126: Connection timed out
Nmap,也就是Network Mapper,中文为“网络映射器”。
Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。
Nmap是一款非常强大的实用工具,可用于:检测活在网络上的主机(主机发现)、检测主机上开放的端口(端口发现或枚举)、检测到相应的端口(服务发现)的软件和版本检测操作系统,硬件地址,以及软件版本检测脆弱性的漏洞(Nmap的脚本)。
"PT"选项可以对网络上指定端口进行扫描(本文例子中指的缺省端口是80(http)号端口),它将可能通过目标边界路由器甚至是防火墙。
# nmap -sP -PT80 192.168.7.0/24
TCP probe port is 80
Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Host (192.168.7.11) appears to be up.
Host (192.168.7.12) appears to be up.
Host (192.168.7.76) appears to be up.
Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second
netstat
netstat命令用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。netstat是在内核中访问网络及相关信息的程序,它能提供TCP连接,TCP和UDP监听,进程内存管理的相关报告。
比如查看某个端口号是否打开,若服务端口没有打开,自然client也就连接不上。
# netstat -tunlp | grep 22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1109/sshd
tcp6 0 0 :::22 :::* LISTEN 1109/sshd
iptables
netfilter/iptables(简称为iptables)组成Linux平台下的*过包**滤防火墙,与大多数的Linux软件一样,这个*过包**滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封*过包**滤、封包和重定向以及网络地址转换(NAT)等功能。
该命令会以列表的形式显示出当前使用的 iptables 规则,并不做解析,每一条规则前面的编号可以用来做为其它操作。
# iptables -n -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
...
tcpdump
当需要测试报文是否发送到对端,也可以使用 tcpdump 命令进行抓包分析。
通常使用的方式是通过 tcpdump 命令抓取数据包,然后通过 wireshake 工具进行分析。
使用方式如下:
//监视指定网络接口、某个具体端口号接收的tcp报文的数据包
# tcpdump -i eth0 -n tcp port 2443
//也可以指定ip, 例如获取所有210.27.48.1 的主机收到的和发出的所有数据包
# tcpdump host 210.27.48.1
//也可以把抓取的数据包保存到cap格式的文件中,通过使用wireshark进行分析
# tcpdump tcp -i eth0 -w /test.cap
如果想捕捉到所有流经端口80或端口443的Web流量,可以执行如下命令:
# tcpdump -n port 80 or port 443
可以使用命令行把抓包结果重定到文件中进行保存
# tcpdump -n host 110.242.68.4 > outfile
也可以保存使用-w把数据结果保存到pcap格式的文件中,然后通过Wireshark 打开该文件对数据包进行分析。
# tcpdump -n host 110.242.68.4 -w output.pcap