Linux: 网络协议和管理配置础

Preamble前导信息(7字节)                      #冲突检测，无实际意义。实现帧的同步
SOF帧起始(1)                                        #用来分割前导信息和后续内容。表示帧的开始
Destination Address目的MAC地址(6)     #目标设备网卡号
Source Address源MAC地址(6)               #源设备网卡号
Type协议类型(2)                                   #以太网中帧的类型，体现上层协议的类型. Ethernet2
Length长度(2)                                      #后面实际内容长度。IEEE 802.3
802.2 Header and Data数据(38~1500)  #IP20字节 + TCP20字节+数据.    IEEE 802.3
Data数据(46-1500)                               #包含其他层协议加入的头信息。Ethernet2
FCS检验位(4)                                       #帧的校验序列，计算帧是否损坏丢失。

# ping 223.5.5.5
PING 223.5.5.5 (223.5.5.5) 56(84) bytes of data.
64 bytes from 223.5.5.5: icmp_seq=1 ttl=115 time=6.33 ms
^C
--- 223.5.5.5 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4003ms
rtt min/avg/max/mdev = 5.502/6.090/6.334/0.303 ms

#说明
64 bytes from    #从对方主机回应的64字节的报文
icmp_seq            #icmp编号，顺序累加
ttl=64                  #数据包的生存时间，你可以去改它，有的系统是256有的是128有的是64也有32的，
                            #当一个数据包经过一个路由的时候这个时间就会减一，当TTL＝1的时候数据包还没有到达目的地的时候，数据包就会被丢弃了
time=0.307 ms  #回应报文花费时间
rtt min/avg/max/mdev  #一般关注平均值

#对方主机无法连接
[root@centos7 ~]#ping 10.0.0.81
PING 10.0.0.81 (10.0.0.81) 56(84) bytes of data.
From 10.0.0.7 icmp_seq=1 Destination Host Unreachable
From 10.0.0.7 icmp_seq=2 Destination Host Unreachable

#目标端口不可达，可能是防火墙原因
[root@centos7 ~]#ping 10.0.0.8
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.
From 10.0.0.8 icmp_seq=1 Destination Port Unreachable
From 10.0.0.8 icmp_seq=2 Destination Port Unreachable

#名称服务未知，可能是 dns 解析问题
[root@centos8 ~]#ping www.you.org
ping: www.you.org: Name or service not known

#默认 ICMP 数据报文包的大小为 64 个字节，可以指定大小，最大 65507。
#但以太网数据帧的大小为 46-1500 位，设置 65507 会把它切成小包
[root@centos8 ~]#ping -s 65508 10.0.0.8 
Error: packet size 65508 is too large. Maximum is 65507

#-f flood 实现网络的攻击
[root@centos8 ~]#ping -s 65507 -f 10.0.0.8 # 最大发送65507 字节的包  -f 尽CPU所能
PING 172.16.21.111 (172.16.21.111) 65507(65535) bytes of data.
........................................................

#实时刷新网卡数据
watch ifconfig eth0

ping 10.0.0.7
echo 'ibase=2; 1010000000000000000000000111'  |bc  # 167772167
ping ping 可以通

32位二进制，以.分隔，所以每处都是8进制
10=8+2           00001010
0=               00000000
0=               00000000
158=128+16+8+4+2 10011110

00001010.00000000.00000000.10011110


#10进制转2进制
[root@proxy ~]# echo 'obase=2;10'|bc
1010
[root@proxy ~]# echo 'obase=2;10;0;0;158'|bc
1010
0
0
10011110


[root@proxy ~]# echo 'obase=10;ibase=2;00001010000000000000000010011110'|bc  #2进制转10进制
167772318
[root@proxy ~]# echo 'obase=8;ibase=2;00001010000000000000000010011110'|bc  #2进制转8进制
1200000236
[root@proxy ~]# echo 'obase=16;ibase=2;00001010000000000000000010011110'|bc  #2进制转16进制
A00009E

系统中表示16进制前面要加0x，8进制前加0
ping 167772318 #10进制
ping 01200000236 #8进制
ping 0xA00009E #16进制

#10.0.01--10.0.0.254
[root@proxy ~]# echo 'obase=2;10;0;0;254' |bc
1010
0
0
11111110
[root@proxy ~]# echo 'obase=10;ibase=2;00001010000000000000000000000001'|bc  #10.0.0.1, 2进制转10进制
167772161
[root@proxy ~]# echo 'obase=10;ibase=2;00001010000000000000000011111110'|bc  #10.0.0.254, 2进制转10进制
167772414

for i in {167772161..167772414} ; do ping -c1 -W1 $i && echo the $i is up || echo the $i is down; done;

net=10.0.0; for i in {1..254}; do ping -c1 -W1 $net.$1 &>/dev/null && echo the $net.$i is up || echo the $net.$i is down; done;

公式：
网段数：2^可变网络ID的位数
主机数：2^主机ID的位数-2=2^(32-网络ID的位数)
1-126 A 128-191 B 192-223 C

#网络地址
<------------32位--------->
网络0000000000000000

#广播地址
<------------32位--------->
网络1111111111111111

ip地址： 172.16.0.0
子网掩码：11111111.11111111.000000000.00000000
子网掩码10进制表示：255.255.0.0

128 64 32 16 8  4  2  1
---------------
0   0  0  0  0  0  0  0
1   0  0  0  0  0  0  0 = 128
1   1  0  0  0  0  0  0 = 192
1   1  1  0  0  0  0  0 = 224
1   1  1  1  0  0  0  0 = 240
1   1  1  1  1  0  0  0 = 248
1   1  1  1  1  1  0  0 = 252
1   1  1  1  1  1  1  0 = 254
1   1  1  1  1  1  1  1 = 255

1. 一个网络的最多主机数＝ 2^主机ID位数-2 =2^(32-网络ID的位数)-2
2. 网络(段)数=2^网络ID中可变的位数
3. 网络ID=IP与netmask # 可以用来判断当前主机在哪个网段，和0相与为0，和1相与为原值

二进制和十进制转换
2^0=1=1
2^1=2=10
2^3=8=1000
2^4=16=10000
2^5=32
2^6=64
2^7=128=10000000
2^8=256=100000000
2^9=512
2^10=1024
2^11=2048
2^12=4096

1. netmask: 255.255.255.11110000  即 255.255.255.240
2. 主机数：2^(32-网络ID的位数) 即 2^(32 - 28) - 2=2^4-2=14
3. IP 范围：
echo 'obase=2;163' |bc # 163的二进制 10100011

203.101.123.10100011 #IP  163 = 128 + 32 + 2 + 1 = 1010 0011 根据 netmask 前 28 位为网络 ID
11111111.11111111.11111111.11110000 #netmask子网掩码 28
203.101.123.1010 0000 #网络ID, 前28位，128+32  即 203.101.123.160
主机ID 0000

#8位
128 64 32 16 8  4  2  1
---------------
0   0  0  0  0  0  0  0
#

最小 ip 203.101.123.1010 0001 即 203.101.123.161
最大 ip 203.101.123.1010 1110 即 203.101.123.(160+(2^3+2^+2^1)) 203.101.123.174  

10.0.0.100/23      23=8+8+7+0=255.255.254.0
172.16.2.50/18  18=8+8+2+0=255.255.192.0

A: 192.168.1.100 netmask:255.255.255.0
B: 192.168.2.100 netmask:255.255.0.0

假设A要和B通信，A知道自己的IP和子网掩码，知道B的IP，不清楚B的子网掩码
A: 192.168.1.100 A的netmask:255.255.255.0 网络ID：192.168.1.0
B: 192.168.2.100 A的netmask:255.255.255.0   网络ID：192.168.2.0

A-->B
1. A网络ID
11000000.10101000.00000001.01100000  #A的IP 192.168.1.100
11111111.11111111.11111111.00000000  #A的netmask 24相与
11000000.10101000.00000001.00000000  #网络iD 192.168.1.0

2. B网络ID
192.168.2 ^ 24
11000000.10101000.00000010.01100000  #B的IP 192.168.2.100
11111111.11111111.11111111.00000000  #A的netmask 24相与
11000000.10101000.00000010..00000000 #网络ID192.168.2.0

3. AB网络比较，A用自己的子网掩码计算，不同则不同网段。A在网络通讯时认为B不可到达，刚放弃ARP，直接走网关

B-->A
假设B访问A，计算后B认为A和自己是同一网段。B会发送ARP请求

10.0.0.0/8
主机位 2^24-2=16777214
10.0.0.1 -- 10.255.255.254

#网络ID向主机ID借1位，能划分成2个子网
10.0 0000000.00000000.00000000 10.0.0.0/9
10.1 0000000.00000000.00000000 10.128.0.0/9

#网络ID向主机ID借2位，能划分成4个子网
10.00 000000.00000000.00000000          10.0.0.0/10
10.01 000000.00000000.00000000          10.64.0.0/10
10.10 000000.00000000.00000000          10.128.0.0/10
10.11 000000.00000000.00000000          10.192.0.0/10

#划分成32个子网， 2^5=32, 所以借5位
10.00000 000.00000000.00000000          10.0.0.0/13
... ...
10.11111 000.00000000.00000000          10.248.0.0/13

#概念
网络ID ：标识网络，每个网段分配一个网络ID，处于高位
主机 ID ：标识单个主机，由组织分配给各设备，处于低位
netmask子网掩码：32位或128位（IPv6）的数字，和IP成对使用， 用来确认IP地址中的网络ID和主机ID，对应网络ID的位为1，对应主机ID的位为0
CIDR 无类域间路由表示法：IP/网络ID位数，如：172.16.0.100/16

公式：
一个网络的最多的主机数：2^主机ID位数-2=2^(32-网络ID的位数)
网络（段）数：2^网络ID中可变的位数
网络ID：IP与netmask # 可以用来判断当前主机在哪个网段，和0相与为0，和1相与为原值
划分子网：将大网分成若干个小网，网络ID向主机ID借N位，将划分为2^N次方个子网

1) 每个省公司的子网的netmask？
划分32个子网，则网络ID要向主机ID借5位。 2^5>=32
则网络位是 8+5=13
netmask是 11111111.11111000.00000000.00000000 = 255.11111000.0.0 =255.248.0.0

2) 每个省公司的子网的主机数有多少？
2^(32-13)-2=524286

3) 所有子网中最小和最大的子网的网络ID？
10.00000 000.0.0  最小子网的网络ID，10.0.0.0/13
10.11111 000.0.0  最大子网的网络ID，10.248.0.0/13

 得到第10个子网，网络ID？
10.00000 000.0.0/13
10.01001 000.0.0/13  # 第10个子网 网络ID+9, 9=8+1
10.72.0.0/13

4) 河南省得到第10个子网的最小IP和最大的IP？
10.01001 000.0.1
10.01001 111.11111111.11111110
10.72.0.1---10.79.255.254

5）所有子网中最大，最小的子网的netid？
10.00000 000.0.0/13 10.0.0.0/13
10.11111 000.0.0/13 10.248.0.0/13

中国移动10.0.0.0/8 给32个各省公司划分对应的子网,河南省得到第10个子网,再给省内的16个地市划分子网
1）每个市公司的子网的netmask？
2）每个市公司的子网的主机数有多少？
3）各地市的最小netid和最大的netid？
4）洛阳市第2个子网，最小IP和最大IP？

#8个C类网段
220.78.168.0/24
220.78.169.0/24
220.78.170.0/24
220.78.171.0/24
220.78.172.0/24
220.78.173.0/24
220.78.174.0/24
220.78.175.0/24

#主机ID向网络ID借3位，网络ID变成21位， 168=128+32+8
220.78.10101 000.0     220.78.168.0/24
220.78.10101 001.0     220.78.169.0/24
220.78.10101 010.0     220.78.170.0/24
......
220.78.10101 110.0     220.78.174.0/24
220.78.10101 111.0     220.78.175.0/24

#合并成一个大网
220.78.168.0/21

DEVICE=eth0
NAME=eth0
BOOTPROTO=static
ONBOOT=yes

IPADDR=10.0.1.86
PREFIX=24
GATEWAY=10.0.0.1
DNS1=223.6.6.6
DNS2=180.76.76.76

#===一般选项
TYPE=                 # 接口类型，常见的有Ethernet以太网, Bridge桥接
NAME=                 # 描述。此配置文件应用到的设备，随便写，一般与设备名一致，可选  nmcli connection命令会显示这的名字
DEVICE=               # 设备名，跟网卡名匹配
BOOTPROTO=            # 获取IP方式，dhcp 动态, static | none | bootp 静态
ONBOOT=               # 是否开机启动， yes启动,no禁用
IPADDR=               # IPV4的IP地址，多个地址可以写成IPADDR2, IPADDR3
NETMASK=              # 子网掩码，传统写法，如:255.255.255.0，可以 PREFIX 代替
PREFIX=               # 子网掩码，新写法 ，网络ID的位数, 与NETMASK等价。PREFIX=24，多地址可以定成PREFIX2, PREFIX3
GATEWAY=              # 默认网关, 路由器的地址，提供跨网段通讯功能。
DNS1=                 # 主DNS
DNS2=                 # 次DNS


#===附加选项
UUID=                 # 此设备的惟一标识
HWADDR=               # 对应的设备的MAC地址
DOMAIN=               # 域名后缀。主机不完整时，自动搜索的域名后缀
USERCTL=              # 普通用户是否可控制此设备
DEFROUTE=             # 是不设置为默认路由; 默认 yes；
PEERDNS=              # 如果BOOTPROTO的值为"dhcp"，YES将允许dhcp server分配的dns服务器信息直接覆盖至/etc/resolv.conf文件，NO不允许修改resolv.conf
PEERROUTES=           # 自动获取路由。server分配的dns服务器指向覆盖本地手动指定的DNS服务器指向；默认为允许；
NM_CONTROLLED=        # NM是NetworkManager的简写，此网卡是否接受NM控制; 在CentOS 6上networkManager不完善，集群、虚拟化桥接在此网络服务下无法使用

PROXY_METHOD=none                     # 代理方式：关闭状态
BROWSER_ONLY=no                       # 只是浏览器上网：否
IPV4_FAILURE_FATAL=no                 # 是不开启IPV4致命错误检测：否
IPV6INIT=yes                          # IPV6是否自动初始化: 是[不会有任何影响, 现在还没用到IPV6]
IPV6_AUTOCONF=yes                     # IPV6是否自动配置：是[不会有任何影响, 现在还没用到IPV6]
IPV6_DEFROUTE=yes                     # IPV6是否可以为默认路由：是[不会有任何影响, 现在还没用到IPV6]
IPV6_FAILURE_FATAL=no                 # 是不开启IPV6致命错误检测：否
IPV6_ADDR_GEN_MODE=stable-privacy     # IPV6地址生成模型：stable-privacy [这只一种生成IPV6的策略]

#centos7,8
nmcli connection reload #加载配置文件
nmcli con  #查看
nmcli connection up eth0

#centos7
systemctl restart network
#centos6\7
service network restart

#ip 确认
ip a
ip a show device

ifconfig
ifconfig device

#路由确认
route -n
ip route

#DNS确认

vim /etc/sysconfig/network-scripts/ifcfg-ens5
DEVICE=ens5
NAME=ens5
BOOTPROTO=static
ONBOOT=yes

IPADDR=10.0.1.86
PREFIX=24

IPADDR2=10.0.1.87
PREFIX2=24

IPADDR3=10.0.1.88
PREFIX3=24

GATEWAY=10.0.0.1
DNS1=223.6.6.6
DNS2=180.76.76.76

#重新生效
nmcli con reload; nmcli con up ens5
ip a show ens5

#新增别名文件方法
cp ifcfg-ens5  ifcfg-ens5:1
vim ifcfg-ens5:1
DEVICE=ens5:1
BOOTPROTO=static
IPADDR=10.0.1.89
PREFIX=24

#重新生效
nmcli con reload; nmcli con up ens5
ip a show ens5

#清除
rm ifcfg-ens5:1
nmcli con reload; nmcli con up ens5

root@ubuntu1804:~# cat /etc/netplan/01-netcfg.yaml
# This file describes the network interfaces available on your system
# For more information, see netplan(5).
network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: yes

#修改网卡配置文件后需执行命令生效：
root@ubuntu1804:~#netplan apply

dhcp4               #是否通过dhcp服务获取IP， ture|false
addresses           #IP地址，列表
gateway4            #网关
nameservers         #DNS
version             #版本，默认写2
search              #域名后缀，列表

root@ubuntu1804:~#vim /etc/netplan/01-netcfg.yaml
network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      addresses: [192.168.8.10/24,10.0.0.10/8]     #或者用下面两行,两种格式不能混用
      - 192.168.8.10/24
      - 10.0.0.10/8
      gateway4: 192.168.8.1
      nameservers:
        search: [you.com, you.org]
        addresses: [180.76.76.76, 8.8.8.8, 1.1.1.1]

#生效
netplan apply

#查看ip和gateway
root@ubuntu1804:~#ip addr
root@ubuntu1804:~#route -n

#查看DNS
root@ubuntu1804:~#ls -l /etc/resolv.conf
lrwxrwxrwx 1 root root 39 Dec 12 11:36 /etc/resolv.conf ->../run/systemd/resolve/stub-resolv.conf

root@ubuntu1804:~# systemd-resolve --status # 使用专门的命令看
... ...               
  Current DNS Server: 180.76.76.76
         DNS Servers: 8.8.8.8
                      1.1.1.1
         DNS Domain: you.com
                     you.org

hostname [-b] {hostname|-F file}                   set host name (from file)
hostname [-a|-A|-d|-f|-i|-I|-s|-y]                 display frmatted name
hostname                                           display host name

#常用选项
-a|--alias            #显示列别名
-F|--file             #从文件中读取
-i|--ip-address       #显示IP地址，仅显示能解析地址
-I|--all-ip-address   #显示所有IP地址，包含不能被解析的，但不显示IPV6地址，不显示回环地址

[root@test ~]# hostname 
test
[root@test ~]# hostname -a

#设置从文件中读取
[root@test ~]# echo "abc" > name.txt
[root@test ~]# hostname -F name.txt 
[root@test ~]# hostname
abc

#显示IP地址，会卡一会，因为要通过DNS反解析主机名
[root@test ~]# hostname -i
fe80::894:e4ff:fe15:4375%ens5 fe80::42:78ff:fe46:572%docker0 10.0.129.226 172.17.0.1

#显示所有IPV4地址
[root@test ~]# hostname -I
10.0.129.226 172.17.0.1 

#查看
[root@test ~]# hostnamectl status
   Static hostname: ip-10-0-129-226.af-south-1.compute.internal
Transient hostname: abc
         Icon name: computer-vm
           Chassis: vm 🖴
        Machine ID: ec24775dff9a810f40403ef5efb91521
           Boot ID: 38485ee08a4e4f94b6d3471cbc4ebd40
    Virtualization: amazon
  Operating System: Amazon Linux 2023.5.20240903
       CPE OS Name: cpe:2.3:o:amazon:amazon_linux:2023
            Kernel: Linux 6.1.106-116.188.amzn2023.aarch64
      Architecture: arm64
   Hardware Vendor: Amazon EC2
    Hardware Model: t4g.medium
  Firmware Version: 1.0

#设置，会写进/etc/hostname 文件中，永久有效
[root@test ~]# hostnamectl hostname af-south1-jump
[root@test ~]# cat /etc/hostname
af-south1-jump

# rpm -qf `which ifconfig`
net-tools-2.0-0.25.20131004git.el7.x86_64

# rpm -qi net-tools
... ...
Most of them are obsolete. For replacement check iproute package.

NAME
       ifconfig - configure a network interface

SYNOPSIS
       ifconfig [-v] [-a] [-s] [interface]
       ifconfig [-v] interface [aftype] options | address ...

NOTE
       This program is obsolete!  For replacement check ip addr and ip link.  For statistics use ip -s link.

# 默认只会显示激活状态的网卡信息
ifconfig [interface]
ifconfig -a # 显示所有接口，包括inactive状态的接口；

# 启用/关闭网卡
ifconfig IFACE [up|down]
ifup/ifdown命令

# 实现地址配置
ifconfig interface [aftype] options | address ...
  ifconfig IFACE IP/netmask [up]
  ifconfig IFACE IP netmask NETMASK

# 删除指定接口网卡的地址：
ifconfig  INTERFACE  0

# CentOS 7
[root@centos7 ~]# ifconfig 
eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.110  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::20c:29ff:fefc:81b2  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:fc:81:b2  txqueuelen 1000  (Ethernet)
        RX packets 159  bytes 19117 (18.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 116  bytes 14163 (13.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
    eno16777736     #网卡接口名称：
    flags=4163      #标志位，UP表示网卡启用激活状态
    UP              #激活状态
    BROADCAST       #支持广播功能
    MULTICAST       #执行组播(即多播)功能
    RUNNING         #启动状态
    mtu 1500        #支持网卡最大的传输单位1500字节；

inet 192.168.1.110  netmask 255.255.255.0  broadcast 192.168.1.255
    inet 192.168.1.110       #网络地址
    netmask 255.255.255.0    #子网掩码
    broadcast 192.168.1.255  #广播地址

ether 00:0c:29:fc:81:b2  txqueuelen 1000  (Ethernet)
    ether 00:0c:29:fc:81:b2      #以太网地址
    txqueuelen 1000  (Ethernet)  #传输队列长度

RX packets 159  bytes 19117 (18.6 KiB)                      #此次网卡激活后接搜到的报文数量，总大小
RX errors 0  dropped 0  overruns 0  frame 0                 #接收时错误、丢失、溢出、帧的数量
TX packets 116  bytes 14163 (13.8 KiB)                      #传出的数据报文，一共字节
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0  #传输的错误、丢包、溢出、帧
注意：这里需要关注的是errors\drooped数量

# CentOS 6
 [root@centos6 ~]# ifconfig 
eth0      Link encap:Ethernet  HWaddr 00:0C:29:FB:24:6E  
          inet addr:192.168.1.113  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fefb:246e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:794092 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13268 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:51277004 (48.9 MiB)  TX bytes:12174059 (11.6 MiB)

#查看所有设备，包括禁用的
ifconfig -a

[root@centos8 ~]#ifconfig eth0 10.0.0.68 netmask 255.255.0.0

#清除eth0上面的IP地址
[root@centos8 ~]#ifconfig eth0 0.0.0.0/0

#启用和禁用网卡
[root@centos8 ~]#ifconfig eth0 down
[root@centos8 ~]#ifconfig eth0 up

#对一个网卡设置多个IP地址
[root@centos8 ~]#ifconfig eth0:1 172.16.0.8/24  # CIDR表示法
[root@centos8 ~]#ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
            inet 10.0.0.8 netmask 255.0.0.0 broadcast 10.255.255.255

eth0:1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
            inet 172.16.0.8 netmask 255.255.255.0 broadcast 172.16.0.255
            ether 00:0c:29:45:a8:a1 txqueuelen 1000 (Ethernet)


[root@centos8 ~]#ifconfig eth0:1 down
[root@centos8 ~]#ifconfig

[root@test ~]# ifconfig -s
Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
ens5             9001 11183467      0      0 0      14622313      0      0      0 BMRU
lo              65536  3711807      0      0 0       3711807      0      0      0 LRU

ping -f 10.0.1.86 -s 65507 #攻击 -s 最大发送65507 字节的包  -f 尽CPU所能
watch ifconfig -s eth0     # 动态监听网络流量


#字段说明
Iface         #网络设备
MTU           #该接口设备最大传输单元，单位是字节，就是一个数据包不能超过1500字节
RX-OK         #收包时成功接收的数据包数量
RX-ERR        #收包时出错的数据包数量
RX-DRP        #收包时丢弃的数据包数量
RX-OVR        #收包时由于过速(接收设备收不过来)而丢弃的数据包数量
TX-OK         #发包时成功发送的数据包数量
TX-ERR        #发包时出错的数据包数量
TX-DRP        #发包时丢弃的数据包数量
TX-OVR        #发包时由于过速(接收设备收不过来)而丢弃的数据包数量
Flg           #标志位

#Flg字段说明
B   #该设备已经设置了广播地址
L   #该设备是一个回环地址
M   #该设备能接收所有经过它的数据包，而不论其目的地址是否是它本身(混乱模式)
N   #该设备不能被追踪
O   #在设备上禁止ARP
P   #这是一个点到点连接
R   #当前设备正在运行
U   #当前设备处于活动状态

#常用选项
-v|--verbose        #显示详细信息
-n|--numeric        #以IP格式显示，而不是以主机名显示
-e|--extend         #显示扩展字段
-F|--fib            #显示转发信息
-C|--cache          #显示路由缓存
-V|--version        #显示版本号
-h|--help           #显示帮助信息
-f                  #清除网关入口处路由表
-net                #目标是一个网络
-host               #目标是一个主机

#常用子命令
add
del
flush
netmask
gw
metric
Destination
Gateway

# linux
route
route -n # 以数字形式显示，而不要反解。若有很多路由信息的时候，反向解析为主机名和端口名会占用很多资源开销

#windows
route print

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.0.1        0.0.0.0         UG    100    0        0 eth0
10.0.0.0        0.0.0.0         255.255.252.0   U     100    0        0 eth0 # 直连网段，会自动配置路由

Destination   #target 目标网络DI。如果是0.0.0.0，其后Gateway代表默认网关地址；
Gateway       #网关，下一跳地址
Genmask       #目标网络掩码地址
Flags         #路由标志；
  U (route is up)                                 #表示启用状态
  H (target is a host)                            #目标地址是一个主机地址
  G (use gateway)                                 #使用网关
  R (reinstate route for dynamic routing)         #动态路由
  D (dynamically installed by daemon or redirect) #动态安装
  M (modified from routing daemon or redirect)    #动态修改
  A (installed by addrconf)
  C (cache entry)                                 #缓存
  !  (reject route)                               #拒绝
G：表示是一个网关，但不一定是目标网关，只有目标地址是0.0.0.0的才是默认网关

Metric       #度量值，到达网络所需开销。值越小，路由记录的优先级最高
Ref          #引用此路由的次数    
Use          #使用次数
Iface        #接口，到达对应网络，应该从当前主机哪个网卡发送出来

route add [-net|-host|default] target [netmask Nm] [gw GW] [[dev] If]
    [gw GW] ：gw为关键字，GW表示真正的下一跳地址
        下一跳必须与自己的某块网卡在同一网段内，且存在
    [[dev] If] ：进由哪块网卡，可以省略，能自动判断

route del [-net|-host] target [gw Gw] [netmask Nm] [[dev] If]

#主机路由 目标：192.168.1.3 网关：172.16.0.1
route add -host 192.168.1.3 gw 172.16.0.1 dev eth0

#网络路由 目标：192.168.0.0 网关：172.16.0.1
route add -net 192.168.0.0 netmask 255.255.255.0 gw 172.16.0.1 dev eth0 # 传统形式
route add -net 192.168.0.0/24 gw 172.16.0.1 dev eth0 # CIDR 无类域间路由表示法
route add -net 192.168.8.0/24 dev eth1 metric 200 # 如果2条都能到达目标，选择metric，没有加网关可以认为与目标在一个网段内

#默认路由，网关：172.16.0.1
#默认路由即未知网络，不知道的路由按默认路由的路径走
route add -net 0.0.0.0 netmask 0.0.0.0 gw 172.16.0.1 # 方式1 传统形式
route add -net 0.0.0.0/0 gw 172.16.0.1 # 方式2 CIDR表示法
route add default gw 172.16.0.1 # 方式3 推荐写法

#删除主机路由条目 目标：192.168.1.3 网关：172.16.0.1
route del -host 192.168.1.3

#删除网络路由条目 目标：192.168.0.0 网关：172.16.0.1
route del -net 192.168.0.0 netmask 255.255.255.0 gw 172.16.0.1
route del -net 192.168.0.0/24 gw 172.16.0.1

四台主机：
A --NAT-- R1 --net1-- R2 --net0-- B

A主机：
eth0 10.0.0.123/8 NAT模式 Gw 10.0.0.200

R1主机：
eth0 10.0.0.200/8 NAT模式
eth1 192.168.0.200/24 仅主机模式

R2主机：
eth0 172.16.0.200/16 桥接模式
eth1 192.168.0.201/24 仅主机模式

B主机：
eth0 172.16.0.123/16 桥接模式 Gw 172.16.0.200 

#配置A主机
ifconfig eth0 10.0.0.123/8
route add -net 10.0.0.0/8 dev eth0  #直连路由不用管，会自动生成
route add default gw 10.0.0.200 dev eth0

#配置R1
#ifconfig eth0 10.0.0.200/8
#ifconfig eth1 192.168.0.200/24
#或写到文件中
cat > ifcfg-eth0
DEVICE=eth0
NAME=eth0
BOOTPROTO=static
IPADDR=10.0.0.200
PREFIX=8
ONBOOT=yes
cat > ifcfg-eth1
DEVICE=eth1
NAME=eth1
BOOTPROTO=static
IPADDR=192.168.0.200
PREFIX=24
ONBOOT=yes

service restart network

route add -net 10.0.0.0/8 dev eth0 #直连路由不用管，会自动生成
route add -net 192.168.0.0/24 dev eth1 #直连路由不用管，会自动生成
route add -net 172.16.0.0/16 gw 192.168.0.201 dev eth1
# 正常网卡看到数据报文，是自己的就接收，不是就抛弃。所以需要加转发，转发数据报文
echo 1 > /proc/sys/net/ipv4/ip_forward

#配置R2
ifconfig eth0 172.16.0.200/16
ifconfig eth1 192.168.0.201/24 #直连路由不用管，会自动生成
route add -net 192.168.0.0/24 dev eth1 #直连路由不用管，会自动生成
route add -net 172.16.0.0/16 dev eth0
route add -net 10.0.0.0/8 gw 10.0.0.200 dev eth1
echo 1 > /proc/sys/net/ipv4/ip_forward

#配置B
ifconfig eth0 172.16.0.123/16
route add -net 172.16.0.0/16 dev eth0 #直连路由不用管，会自动生成
route add default gw 172.16.0.200 dev eth0


#测试
#1.确保直连网络能通
#2.A ping B 不通，
#在 r1 上 tcpdump -i eth0 -nn icmp 有发给 b 的包
#在 r1 上 tcpdump -i eth1 -nn icmp 没有发给 b 的包
#这是因为没有设置路由转发，默认路由器自动开启转发
#在r1 和 r2 开启路由转发 echo 1 > /proc/sys/net/ipv4/ip_forward
#3.A 追踪路由 
#mtr 172.16.0.123
#tracepath 172.16.0.123
#traceroute 172.16.0.123

3个路由器、2 个交换机把客户机 A B 连接到网络中，同时交换机连接着路由器。
分别在 3 个路由器上配置路由表
R1 直连的网段：到 A 172.16.0.0/16，到 R2 eth0 172.18.0.0/16
R2 直连的网段：到 R1 eth1 172.18.0.0/16，到 R3 eth0 172.20.0.0/16
R3 直连的网段：到 B 172.22.0.0/16，到 R2 eth1 172.20.0.0/16
直连网络的路由是不用添加的，会自动添加

添加非直连路由：
#R1
#直连网段不用管，添加不直连的网段
route add -net 172.20.0.0/16 gw 172.18.0.201 dev eth1
route add -net 172.22.0.0/16 gw 172.18.0.201 dev eth1
route add default gw 172.18.0.201 dev eth1


#R2
route add -net 172.16.0.0/16 gw 172.18.0.200 dev eth0
route add -net 172.22.0.0/16 gw 172.20.0.201 dev eth1


#R3
route add default gw 172.20.0.200 dev eth0

检查过程：
从A ping B 不通
检查 R1 eth0有接收到ping， 但R1 eth1 没转发出去
tcpdump -i eth0 -nn icmp # 有
tcpdump -i eth0 -nn icmp # 没有转发到B的ping包
解决：# 正常网卡看到数据报文，是自己的就接收，不是就抛弃。所以需要在路由器上加转发，转发数据报文
[root@router ~]#echo 1 > /proc/sys/net/ipv4/ip_forward
# 跟踪一下路由
traceroute 172.22.0.100 # 慢
tracepath 172.22.0.100 # 慢
mtr 172.22.0.100  # 比traceroute快些

# 方法1 添加一个路由设备，形成单臂路由
R1:
ip a a 7.7.7.200/24 dev eth0:7
ip a a 8.8.8.200/24 dev eth0:8
echo 1 > /proc/sys/net/ipv4/ip_forward
A:
ip route add default via 7.7.7.200 
B:
ip route add default via 8.8.8.200 
# 方法2 本地设置默认网关，让其能发ARP协议
ip route add default dev eth0 # 没有指定网关，只要是未知网段就行eth0发出去

netstat [--tcp|-t] [--udp|-u] [--raw|-w] [--listening|-l] [--all|-a] [--
numeric|-n] [--extend|-e[--extend|-e]] [--program|-p]

#常用选项
-A                      #指定网络类型 inet|inet6|unix|ipx|ax25|netrom|econet|ddp|bluetooth
-t|--tcp                #显示tcp端口数据
-u|--udp                #显示udp端口数据
-w|--raw                #raw socket相关
-l|--listening          #仅显示处于监听状态的端口
-a|--all                #所有状态
-n|--numeric            #以数字显示IP和端口
-s|--statistice         #显示统计数据
-e|                     #扩展格式
-p|--program            #显示相关进程及PID
-x|--unix               #同 -A unix
-ip|--inet              #同 -A
-I|--interfaces=<Iface> #指定设备

#常用组合：
-tan, -uan, -tnl, -unl

#以IP格式显示路由表
[root@test ~]# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.0.129.1      0.0.0.0         UG        0 0          0 ens5
10.0.0.2        10.0.129.1      255.255.255.255 UGH       0 0          0 ens5
10.0.129.0      0.0.0.0         255.255.255.0   U         0 0          0 ens5
10.0.129.1      0.0.0.0         255.255.255.255 UH        0 0          0 ens5
172.17.0.0      0.0.0.0         255.255.0.0     U         0 0          0 docker0

netstat -tunlp |grep ":22"
ss -tnulp |grep ":22"
lsof -i :22

#统计所有网卡信息
netstat -i|ifconfig -s |cat /proc/net/dev

#统计所有指定信息
netstat -Ieth0|netstat -I=eth0|ifconfig -s eth0| {cat /proc/net/dev |grep eth0}

# netstat -Ieth0
Kernel Interface table
Iface             MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0             1500 1098450850      0     52 0       2805717      0      0      0 BMRU

# ifconfig -s eth0
Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0             1500 1098453216      0     52 0       2805757      0      0      0 BMRU

[root@centos8 ~]#netstat -nt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address                     Foreign Address                 State         
tcp     0    52 10.0.0.8:22                10.0.0.1:4927                     ESTABLISHED
Proto：协议
Recv-Q：接收队列长度
Send-Q：发送队列长度
Local Address：本机地址
Foreign Address：远程地址
State：状态

[root@test ~]# ip --help
Usage: ip [ OPTIONS ] OBJECT { COMMAND | help }
       ip [ -force ] -batch filename
where  OBJECT := { link | address | addrlabel | route | rule | neigh | ntable |
                   tunnel | tuntap | maddress | mroute | mrule | monitor | xfrm |
                   netns | l2tp | fou | macsec | tcp_metrics | token | netconf | ila |
                   vrf | sr | nexthop | mptcp }
       OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[esolve] |
                    -h[uman-readable] | -iec | -j[son] | -p[retty] |
                    -f[amily] { inet | inet6 | mpls | bridge | link } |
                    -4 | -6 | -I | -D | -M | -B | -0 |
                    -l[oops] { maximum-addr-flush-attempts } | -br[ief] |
                    -o[neline] | -t[imestamp] | -ts[hort] | -b[atch] [filename] |
                    -rc[vbuf] [size] | -n[etns] name | -N[umeric] | -a[ll] |
                    -c[olor]}


#说明：
OBJECT := { link | addr | route | netns  }管理对象

ip link     #设备管理
ip address  #ip地址管理
ip route    #管理管理
ip netns    #网络名称空间管理
ip tuntap   #虚拟网络设备

ip l help #man ip-link
ip a help #man ip-address
ip r help #man ip-route
ip ru help #man ip-rule

ip link
ip a
ip route

ss [OPTION]... [FILTER]

#常用选项：
-t: tcp协议相关
-u: udp协议相关
-w: 裸套接字相关
-x：unix sock相关
-l: listen状态的连接
-a: 所有
-n: 数字格式
-p: 相关的程序及PID
-e: 扩展的信息
-m：内存用量
-o：计时器信息
过滤器：只看某种状态的连接

FILTER : [ state TCP-STATE ] [ EXPRESSION ] 状态过滤功能
TCP的常见状态：
    tcp finite state machine:
        LISTEN: 监听
        ESTABLISHED：已建立的连接
        FIN_WAIT_1
        FIN_WAIT_2
        SYN_SENT
        SYN_RECV
        CLOSED
established：代表一个打开的连接
syn-sent：再发送连接请求后等待匹配的连接请求
syn-recv：再收到和发送一个连接请求后等待对方对连接请求的确认
fin-wait-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认
fin-wait-2：从远程TCP等待连接中断请求
time-wait：等待足够的时间以确保远程TCP接收到连接中断请求的确认
closed:：没有任何连接状态
close-wait：等待从本地用户发来的连接中断请求
last-ack：等待原来的发向远程TCP的连接中断请求的确认
listen：侦听来自远方的TCP端口的连接请求
closing：等待远程TCP对连接中断的确认

all : 所有以上状态
connected : 除了listen and closed的所有状态
synchronized :所有已连接的状态除了syn-sent
bucket : 显示状态为maintained as minisockets,如：time-wait和syn-recv.
big : 和bucket相反.

EXPRESSION:
    dport =
    sport =

ss src 120.33.31.1 # 列出来之20.33.31.1的连接 
＃　列出来至120.33.31.1,80端口的连接
ss src 120.33.31.1:http
ss src 120.33.31.1:80

<= or le : 小于或等于端口号
>= or ge : 大于或等于端口号
== or eq : 等于端口号
!= or ne : 不等于端口号
< or gt : 小于端口号
> or lt : 大于端口号

-tan, -tanl, -tanlp, -uan

#以IP格式显示所有连接数据
ss -n

#显示所有TCP连接，正处于连接状态
ss -pl

#显示所有tcp连接
ss -tan

#显示所有处于监听状态的TCP, UDP连接，并显示程序和进程ID
ss -tunlp

#显示所有已建立的ssh连接
ss -o state established '( dport = :ssh or sport = :ssh )'

#显示所有已建立的HTTP连接
ss -o state established '( dport = :http or sport = :http )'
[root@centos8 ~]#ss -no state established '( dport = :21 or sport = :21 )'

#列出当前socket详细信息
ss -s

#链接状态检查：
ss -ant | awk '{name[$1]++}END{for(n in name)print n,name[n]}'

#当前访问IP
ss -an | awk '$NF ~ /.*:.*/{split($NF,A,":");a[A[1]]++}END{for(i in a) print i,a[i]}' |grep  '^[0-9]' |sort -nr -k2,2

#结合产品
[root@hd-test-all-01 nhd_server]# netstat -n |grep '^tcp' |tail -n1
tcp        0      0 ::ffff:192.168.1.150:3306   ::ffff:192.168.1.150:40712  ESTABLISHED
[root@hd-test-all-01 nhd_server]# netstat -n |grep '^tcp' |head -n1
tcp        0      0 192.168.1.150:6379          192.168.1.150:46096         ESTABLISHED

[root@hd-test-all-01 nhd_server]# netstat -n | awk '/^tcp/ {n=split($(NF-1),array,":"); if(n<=2) IP[array[1]]++; else IP[array[4]]++; stat[$NF]++; ++snum} END {for(i in IP){printf("%-20s %s\n", i, IP[i]); num++}printf("%-20s %s\n","TOTAL_IP",num); for(s in stat)printf("%-20s %s\n",s, stat[s]); printf("%-20s %s\n","TOTAL_LINK",snum);}' |tail -n10
192.168.1.35         1
192.168.1.100        4
192.168.1.26         2
192.168.1.44         30
TOTAL_IP             36
TIME_WAIT            65
CLOSE_WAIT           1
FIN_WAIT2            5
ESTABLISHED          1138
TOTAL_LINK           1209

[root@game-ticket-job-798fc84d58-bd7r4 net]# ss -tnl
State      Recv-Q Send-Q                                            Local Address:Port                                                           Peer Address:Port
LISTEN     0      100                                                           *:10095                                                                     *:*
LISTEN     0      100                                                           *:18082                                                                     *:*
LISTEN     0      4096                                                          *:9993                                                                      *:*
[root@4 net]# cat /proc/net/tcp |head -n4
  sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode
   0: 00000000:276F 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 92486795 1 0000000000000000 100 0 0 10 0
   1: 00000000:46A2 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 92479401 1 0000000000000000 100 0 0 10 0
   2: 00000000:2709 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 92486189 1 0000000000000000 100 0 0 10 0

   46: 010310AC:9C4C 030310AC:1770 01 
   |      |      |      |      |   |--> connection state
   |      |      |      |      |------> remote TCP port number
   |      |      |      |-------------> remote IPv4 address
   |      |      |--------------------> local TCP port number
   |      |---------------------------> local IPv4 address
   |----------------------------------> number of entry

[root@game-ticket-job-798fc84d58-bd7r4 net]# printf '%d\n' 0x46A2
18082
[root@game-ticket-job-798fc84d58-bd7r4 net]# printf '%d\n' 0x2709
9993
[root@game-ticket-job-798fc84d58-bd7r4 net]# printf '%d\n' 0x276F
10095

nmcli [ OPTIONS ] OBJECT { COMMAND | help }
    device - show and manage network interfaces
    nmcli device help
    connection - start, stop, and manage network connections
    nmcli connection help

#常用选项
-a|--ask           #询问
-c|--color         #输出时是否显示颜色 auto|yes|no
-e|--ecape         #是否转义分隔符 yes|no
-f|--fields        #指定输出列 <field, ...>|all|commmon
-m|--mode          #显示模式 tabular|multiline
-o|--overview      #预览模式输出
-p|--pretty        #完美格式输出
-t|--terse         #简洁格式输出
-v|--version       #显示版本信息
-h|--help          #显示帮助

#OBJECT
g[eneral]          #一般状态管理
n[etworking]       #整体网络管理
r[adio]            #网络连接切换
c[onnection]       #网络连接管理
d[evice]           #网络设备管理
a[gent]            #网络中的代理
m[onitor]          #网络中的流量数据监控

nmcli connection modify IFACE [+|-]setting.property value
setting.property: ipv4.addresses ipv4.gateway ipv4.dns1 ipv4.method manual |auto

nmcli con reload
nmcli con up con-name

#查看帮助
nmcli con add help

#使用nmcli配置网络
nmcli con
nmcli con show

#显示所有活动连接
nmcli con show --active

#显示网络连接配置
nmcli con show     "System eth0"

#显示设备状态
nmcli dev status

#显示网络接口属性
nmcli dev show eth0

#创建新连接default，IP自动通过dhcp获取
nmcli con add con-name default type Ethernet ifname eth0

#删除连接
nmcli con del default

#创建新连接static ，指定静态IP，不自动连接
nmcti con add con-name static     \
ifname eth0 autoconnect no type Ethernet \
ipv4.addresses 172.25.X.10/24 ipv4.gateway     172.25.X.254

#启用static连接配置
nmcli con up static

#启用default连接配置
nmcli con up default

#同一设备新增配置
nmcli con mo static +ipv4.address 10.0.0.199/24
nmcli con mo static +ipv4.dns 8.8.8.8

#同一设备删除配置
nmcli con mo static -ipv4.address 10.0.0.199/24
nmcli con mo static -ipv4.dns 8.8.8.8

#修改连接设置
nmcli con mod "static" connection.autoconnect no
nmcli con mod "static" ipv4.dns 172.25.X.254
nmcli con mod "static" ipv4.addresses "172.16.X.10/24     172.16.X.254"

#DNS设置存放在/etc/resolv.conf，PEERDNS=no 表示当IP通过dhcp自动获取时，dns仍是手动设置，不自动获取等价于下面命令
nmcli con mod "system eth0" ipv4.ignore-auto-dns yes

nmcli connection # 查看当前网络状态 可以看到增的网卡写到内存中
# 将新增网卡从内存写入到文件，并改网卡名
nmcli connection modify Wired\ connection\ 1 con-name eth1-home
# 改ip、网关地址、dns地址
nmcli connection modify eth1-home ipv4.addresses 192.168.0.100/24 ipv4.gateway 192.168.0.1 ipv4.dns 223.6.6.6 ipv4.method manual
# 生效，重启加载网卡
nmcli connection reload
nmcli connection up eth1-hhome

# 再添加网卡
nmcli connection add con-name eth1-work ipv4.method manual ipv4.addresses 172.16.0.100/16  ifname eth0 type Ethernet
# 生效，重启加载网卡
nmcli connection reload
nmcli connection up eth1-work # 希望谁生效就加载谁
# 查看
mcli connection   # 可以看到eth1-home已经顶替下来了

apt install network-manager
vim /etc/Network-kManager/NetworkManager.conf
...
[ifupdown]
managed=false 改为 managed=true

systemctl restart NetworkManager.service

#修改网卡配置
vim /etcnetplan/00-installer-config.yaml
network:
  renderer: NetworkManger   #添加此行

#生效
netplan apply

#centos7 以后版
/etc/hostname
HOSTNAME

#centos6 之前版本
/etc/sysconfig/network
HOSTNAME=

root@ubuntu1804:~# hostnamectl set-hostname ubuntu1804.you.org
root@ubuntu1804:~# cat /etc/hostname
ubuntu1804.you.org
root@ubuntu1804:~# hostname
ubuntu1804.you.org
root@ubuntu1804:~# echo $HOSTNAME
ubuntu1804
root@ubuntu1804:~# exit
logout
wang@ubuntu1804:~$ sudo -i
root@ubuntu1804:~# echo $HOSTNAME
ubuntu1804.you.org

/etc/hosts

/etc/resolv.conf
nameserver DNS_SERVER_IP1 
nameserver DNS_SERVER_IP2
nameserver DNS_SERVER_IP3
search DOMAIN # DOMAIN的名字默认是从主机名来的，比如主机名为centos7.b.com DOMAIN就是b.com。也可以修改网卡配置项目DOMAIN
# 最多有3台主机被当作DNS主机地址

root@ubuntu1804:~#vim /etc/netplan/01-netcfg.yaml
network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      addresses: [192.168.8.10/24,10.0.0.10/8]     #或者用下面两行,两种格式不能混用
      - 192.168.8.10/24
      - 10.0.0.10/8
      gateway4: 192.168.8.1
      nameservers:
        search: [you.com, you.org]
        addresses: [180.76.76.76, 8.8.8.8, 1.1.1.1]

#生效
netplan apply

#查看dns
resovlectl status

#查看指定设备的dns
resolvectl dns eth0

# dig -t A FQDN #主机名解析，不经过hosts文件
FQDN --> IP 

# dig -x IP
IP --> FQDN

host www.baidu.com 10.0.0.2

/etc/nsswitch.conf
hosts: files dns

/etc/sysconfig/network-scripts/route-IFACE

两种风格：
(1) TARGET via GW (推荐)
如：10.0.0.0/8 via 172.16.0.1

(2) 每三行定义一条路由
ADDRESS#=TARGET
NETMASK#=mask
GATEWAY#=GW

常用的模式为 0, 1, 3, 6
mode 1, 5, 6 不需要交换机配置
mode 0, 2, 3, 4 需要交换机配置
active-backup, balance-tlb, balance-alb 模式不需要交换机的任何特殊配置。其他绑定模式需要配置交换机以便整合链接。如：cisco 交换机需要在模式0, 2, 3 中使用 EtherChannel，但在模式 4 中需要 LACP 和 EtherChannel

/usr/share/doc/kernel-doc- version/Documentation/networking/bonding.txt

cd /etc/sysconfig/network-scripts/
~]# ls
ifcfg-eth0

#创建bonding设备的配置文件
/etc/sysconfig/network-scripts/ifcfg-bond0
TYPE=bond
DEVICE=bond0
BOOTPROTO=none
IPADDR=10.0.0.100
PREFIX=8
BONDING_OPTS="mode=1 miimon=100"  #工作模式为主备，心跳检测间隔100ms

#创建网卡配置文件
/etc/sysconfig/network-scripts/ifcfg-eth1
NAME=eth1
DEVICE=eth1
BOOTPROTO=none
MASTER=bond0
SLAVE=yes
ONBOOT=yes

/etc/sysconfig/network-scripts/ifcfg-eth2
NAME=eth2
DEVICE=eth2
BOOTPROTO=none
MASTER=bond0
SLAVE=yes
ONBOOT=yes


#生效
nmcli con reload
nmcli up bond0
nmcli con

/proc/net/bonding/bond0

# mii-tool eth1 ; mii-tool eth2 #查看网卡是否连接
# ethtool eth1 ; ethtool eth2 #查看网卡是否连接

ping 10.0.0.100

#ifconfig bond0 down
#rmmod bonding

nmcli conn down bond0
rm -f ifcfg-bond0 ifcfg-eth1 ifcfg-eth2
nmcli conn reload; nmcli conn

#添加bonding接口
nmcli con add type bond con-name mybond0 ifname bond0 mode active-backup ipv4.method manual ipv4.address 192.168.10.100/24

#添加从属接口
nmcli con add type bond-slave ifname eth1 master bond0
nmcli con add type bond-slave ifname eth2 master bond0
#注：如无为从属接口提供连接名，则该名称是接口名称加类型构成

#要启动绑定，则必须首先启动从属接口
nmcli con up bond-slave-eth0
nmcli con up bond-slave-eth1

#启动绑定
nmcli con up mybond0

tcp/ip stack --> tun --> OpenVPN --> tcp/ip stack --> Phyical NIC

#创建 tap/tun 设备
#使用命令创建tun、tap设备的方式有多种，比如openvpn --mktun、ip tuntap、tunctl等
ip tuntap add dev tap0 mod tap # 创建 tap 
ip tuntap add dev tun0 mod tun # 创建 tun

openvpn --mktun --dev tun0
openvpn --mktun --dev tap0

tunctl -t tap0      # 默认创建tap设备
tunctl -n -t tap0

#删除 tap/tun 设备：
ip tuntap del dev tap0 mod tap # 删除 tap 
ip tuntap del dev tun0 mod tun # 删除 tun
PS: user 和 group 参数和 tunctl 的 -u、 -g 参数是一样的。

# 可以为tun/tap分配IP地址或配置其它属性
ifconfig tun0 10.0.0.33 up
# 或者
ip link set tun0 up
ip addr add 10.0.0.33/24 dev tun0

#创建桥
ip link add br0 type bridge stp_state on
# 创建macvtap类型，直连物理网络，kvm virt-manager创建虚拟机用到过
ip link add link xu0  xu2 type macvtap mode bridge
ip link show type macvtap
# 创建tap类型(虚拟网卡)，手动桥下用到，
ip tuntap add xu3 mode tap user root
ip link set xu3 master xu0
ip  tuntap show

[root@node01 ~]# ip a
5: xu0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 4e:1e:15:04:21:a3 brd ff:ff:ff:ff:ff:ff
7: xu2@xu0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN group default qlen 500
    link/ether 36:6d:69:3c:82:27 brd ff:ff:ff:ff:ff:ff
8: xu3: <BROADCAST,MULTICAST> mtu 1500 qdisc noop master xu0 state DOWN group default qlen 1000
    link/ether 4e:1e:15:04:21:a3 brd ff:ff:ff:ff:ff:ff
[root@node01 ~]# brctl show
bridge name bridge id       STP enabled interfaces
xu0     8000.4e1e150421a3   yes     xu3

故障1：
cennect:Network is unreachable 网络不可达，一般为路由缺失
故障2：
From 10.0.0.8 icmp_seq=1 Destination Host Unreachable 目标主机可达，可能是路径错误。ping 路由地址是否正确
故障3：
ping: www.baidu.com: Name or service not known  无法解析成ip地址 查看dns配置文件

-c #           #发送的ping包个数；
-w #          #ping命令超时时长；
-W #         #一次ping操作中，等待对方响应的超时时长；
-f               #flood ping
-s #           #指定名ping包报文大小；
注意：ddos攻击，1W台主机法ping包

#默认 ICMP 数据报文包的大小为 64 个字节，可以指定大小，最大 65507。
#但以太网数据帧的大小为 46-1500 位，设置 65507 会把它切成小包
[root@centos8 ~]#ping -s 65508 10.0.0.8 
Error: packet size 65508 is too large. Maximum is 65507


#-f flood 实现网络的攻击
[root@centos8 ~]#ping -s 65507 -f 10.0.0.8 # 最大发送65507 字节的包  -f 尽CPU所能
PING 172.16.21.111 (172.16.21.111) 65507(65535) bytes of data.
........................................................

#实时刷新网卡数据
watch ifconfig eth0


[root@proxy ~]# ping 127.0.0.01
PING 127.0.0.01 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.033 ms
^C
--- 127.0.0.01 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 0.033/0.040/0.044/0.007 ms

#说明
64 bytes from    #从对方主机回应的64字节的报文
icmp_seq            #icmp编号，顺序累加
ttl=64                  #数据包的生存时间，你可以去改它，有的系统是256有的是128有的是64也有32的，
                            #当一个数据包经过一个路由的时候这个时间就会减一，当TTL＝1的时候数据包还没有到达目的地的时候，数据包就会被丢弃了
time=0.307 ms  #回应报文花费时间
rtt min/avg/max/mdev  #一般关注平均值

--fast 快速发ping包，1秒10个；
--faster 能发多块发多快
--flood  
-S 参数表示设置 TCP 协议的 SYN（同步序列号），
-p 表示目的端口为 80
-i uX ：指明时间间隔，u表示微秒；

# -i u100 表示每隔 100 微秒发送一个网络帧。
# 注：如果你在实践过程中现象不明显，可以尝试把 100 调小，比如调成 10 甚至 1
$ hping3 -S -p 80 -i u100 192.168.0.30

pip install httpstat

#执行
httpstat URL

curl http://ip.sb
curl http://ipinfo.io/ip/
curl http://ifconfig.me
curl -L http://tool.lu/ip
curl -sS --connect-timeout 10 -m 60 https://www.bt.cn/Api/getIpAddress
curl cip.cc

#指定
curl http://www.cip.cc/39.164.140.134

root@centos8 ~]#yum -y install fping

[root@centos8 ~]#fping 10.0.0.7
10.0.0.7 is alive

[root@centos7 ~]#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #禁ping
[root@centos8 ~]#fping 10.0.0.7
10.0.0.7 is unreachable

[root@centos8 ~]#fping 10.0.0.7
10.0.0.7 is unreachable
[root@centos8 ~]#fping 10.0.0.7 10.0.0.8
10.0.0.8 is alive
10.0.0.7 is unreachable

#-g 选项可以指定网段或地址范围
[root@centos8 ~]#fping -g 10.0.0.0/24
10.0.0.1 is alive
10.0.0.2 is alive
10.0.0.8 is alive
10.0.0.100 is alive
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.3
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.3
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.6
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.6
......
[root@centos8 ~]#fping -g 10.0.0.5 10.0.0.10
10.0.0.8 is alive
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.6
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.6
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.6
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.6
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.5
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.5
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.5
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.5
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.10
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.10
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.10
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.10
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.9
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.9
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.9
ICMP Host Unreachable from 10.0.0.8 for ICMP Echo sent to 10.0.0.9
10.0.0.5 is unreachable
10.0.0.6 is unreachable
10.0.0.7 is unreachable
10.0.0.9 is unreachable
10.0.0.10 is unreachable


#对文件中的主机时行测试
[root@centos8 ~]#tee hosts.txt <<EOF
10.0.0.7
10.0.0.8
EOF
10.0.0.7
10.0.0.8
[root@centos8 ~]#fping < hosts.txt
10.0.0.8 is alive
10.0.0.7 is unreachable
[root@centos8 ~]#fping -s < hosts.txt
10.0.0.8 is alive
10.0.0.7 is unreachable
   2 targets
   1 alive
   1 unreachable
   0 unknown addresses
   1 timeouts (waiting for response)
   5 ICMP Echos sent
   1 ICMP Echo Replies received
   0 other ICMP received
0.07 ms (min round trip time)
0.07 ms (avg round trip time)
0.07 ms (max round trip time)
    4.080 sec (elapsed real time)

# 普通使用
mtr -n 221.236.1.1
mtr -n -i 2 221.236.1.1

# 检查5次后，输出报告
mtr -n -c 5 -r 221.236.1.1
mtr -n -c 1 -r -w 221.236.1.1

[root@iZt4n9qrho9qwpmp5fz97sZ ~]# host baidu.com
baidu.com has address 39.156.66.10
baidu.com has address 110.242.68.66
baidu.com mail is handled by 20 usmx01.baidu.com.
baidu.com mail is handled by 20 jpmx.baidu.com.
baidu.com mail is handled by 20 mx1.baidu.com.
baidu.com mail is handled by 10 mx.maillb.baidu.com.
baidu.com mail is handled by 15 mx.n.shifen.com.
baidu.com mail is handled by 20 mx50.baidu.com.
[root@iZt4n9qrho9qwpmp5fz97sZ ~]# host baidu.com 114.114.114.114
Using domain server:
Name: 114.114.114.114
Address: 114.114.114.114#53
Aliases: 

baidu.com has address 39.156.66.10
baidu.com has address 110.242.68.66
baidu.com mail is handled by 10 mx.maillb.baidu.com.
baidu.com mail is handled by 20 mx50.baidu.com.
baidu.com mail is handled by 20 mx1.baidu.com.
baidu.com mail is handled by 20 jpmx.baidu.com.
baidu.com mail is handled by 15 mx.n.shifen.com.
baidu.com mail is handled by 20 usmx01.baidu.com.

tcpu [options]   [ expression ]

#抓包选项
-c #指定要抓取的包数量。注意，是最终要获取这么多个包。例如，指定"-c 10"将获取10个包，但可能已经处理了100个包，只不过只有10个包是满足条件的包。
-i<网络接口> #使用指定的网络截面送出数据包。可以使用'any'关键字表示所有网络接口。
-n #不把主机的网络地址转换成名字。
-nn #不进行端口名称的转换，端口显示为数值,。
-N #不打印出host的域名部分。例如tcpdump将会打印'nic'而不是'nic.ddn.mil'。
-P #大P 指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout"，默认为"inout"。
-s<数据包大小> #设置每个数据包的大小。默认68个字节
      对于要抓取的数据包较大时，长度设置不够可能会产生包截断，若出现包截断，
      ：输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长，包的处理时间越长，并且会减少tcpdump可缓存的数据包的数量，
      ：从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好。

#输出选项：
-e   #输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。
-q   #快速输出，仅列出少数的传输协议信息。
-X   #输出包的头部数据，会以16进制和ASCII两种方式同时输出。
-XX  #输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。
-v   #当分析和打印的时候，产生详细的输出。
-vv  #产生比-v更详细的输出。
-vvv #产生比-vv更详细的输出。

#其他功能性选项：
-D             #列出可用于抓包的接口。将会列出接口的数值编号和接口名，它们都可以用于"-i"后。
-F<表达文件>   #指定内含表达方式的文件。若使用该选项，则命令行中给定的其他表达式都将失效。
-w<数据包文件> #把数据包数据写入指定的文件。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r<数据包文件> #从指定的文件读取数据包数据。使用"-"表示从标准输入中读取。(这些包一般通过-w选项产生)


-A   #以ASCII格式打印出所有分组，并将链路层的头最小化。
-a   #尝试将网络和广播地址转换成名称。
-C   #在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。
-d   #把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。
-dd  #把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出。
-ddd #把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出。
-E   #用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。
-f   #用数字显示网际网络地址。
-l   #使用标准输出列的缓冲区。可以把数据导出到文件
-L   #列出网络接口的已知数据链路。
-m   #从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。
-M   #如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。
-b   #在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。
-O   #不将数据包编码最佳化。
-p   #不让网络界面进入混杂模式。
-S   #用绝对而非相对数值列出TCP关联数。
-t   #在每列倾倒资料上不显示时间戳记。
-tt  #在每列倾倒资料上显示未经格式化的时间戳记。
-ttt #输出本行和前面一行之间的时间差。
-tttt #在每一行中输出由date处理的默认格式的时间戳。
-T<数据包类型> #强制将表达方式所指定的数据包转译成设置的数据包类型。常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。
-u   #输出未解码的NFS句柄。

#常用组合
-nn -vvv -A

tcpdump [options] [修饰符] [操作符、关键字、算术表达式] 


修饰符: proto dir type
proto #指定协议，tcp/udp/arp/ip/ether/icmp等, 若未给定协议类型，则匹配所 有可能的类型。例如”tcp port 21”，"udp portrange 7000-7009"
dir #指定传输方向，src, dst, src or dst, src and dst 默认 src or dst
type  #指定类型，host,net,port,portrange 默认host

表达式之间组合条件：
    and &&
    or  ||
    not  !

关键字 #gateway，broadcast，less，greater

使用括号”()"可以改变表达式的优先级，但需要注意的是括号会被shell解释，所以应该使用反斜线""转义为”()“，在需要的时候，还需要包围在引号中。

同样的修饰符可省略
tcp dst port ftp or ftp-data or domain 与 tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain 等价

#查看网卡
[root@centos8 ~]#tcpdump -D
1.eth0 [Up, Running]
2.lo [Up, Running, Loopback]
3.any (Pseudo-device that captures on all interfaces) [Up, Running]
4.bluetooth-monitor (Bluetooth Linux Monitor) [none]
5.nflog (Linux netfilter log (NFLOG) interface) [none]
6.nfqueue (Linux netfilter queue (NFQUEUE) interface) [none]
7.usbmon0 (All USB buses) [none]
8.usbmon1 (USB bus number 1)
9.usbmon2 (USB bus number 2)


#不指定任何参数，监听第一块网卡上经过的数据包。主机上可能有不止一块网卡，所以经常需要指定网卡。
# tcpdump
20:01:50.766275 IP iZ2ze9syjt6dldfkhqzdw2Z.11822 > 10.0.1.194.57897: Flags [P.], seq 2478363413:2478363601, ack 815052156, win 302, length 188

Flags 的完整列表。
S: SYN
F: FIN
P: PUSH
R: RST
U: URG
W: ECN CWR
E: ECN Echo
.: ACACK

#监听特定主机，监听主机10.0.0.100 的通信包，注意：出、入的包都会被监听。
tcpdump -i eth0 host 10.0.0.100

#特定来源
tcpdump src host hostname
#特定目标地址
tcpdump dst host hostname

#面试题
[root@centos8 ~]#tcpdump -i eth0 -nn icmp and    src host 10.0.0.6 and dst host 10.0.0.7

#特定端口
tcpdump port 3000

#特定协议 监听TCP/UDP，服务器上不同服务分别用了TCP、UDP作为传输层，假如只想监听TCP的数据包
tcpdump tcp

#组合
# 组合：来源主机+端口+TCP，监听来自主机10.0.0.100在端口22上的TCP数据包
tcpdump tcp port 22 and src host 10.0.0.100
# 组合：监听特定主机之间的通信
tcpdump ip host 10.0.0.101 and 10.0.0.102
#主机10.0.0.101和主机10.0.0.102 或172.16.100.77的通信
tcpdump ip host 10.0.0.101 and \(10.0.0.102 or 172.16.100.77 \)
# 组合：10.0.0.101和除了10.0.0.1之外的主机之间的通信
tcpdump ip host 10.0.0.101 and ! 10.0.0.1

#HTTP抓包
tcpdump -nn -vvv -A |grep baidu.com

#限制抓包的数量，如下，抓到1000个包后，自动退出
tcpdump -c 1000

#打印所有通过网关snup的ftp数据包(注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析)
tcpdump 'gateway snup and (port ftp or ftp-data)'

# 10. 解析包数据
tcpdump -c 2 -q -XX -vvv -nn -i eth0 tcp dst port 22

# 11. 保存到本地，tcpdump默认会将输出写到缓冲区，只有缓冲区内容达到一定的大小，或者tcpdump退出时，才会将输出写到本地磁盘,可以加上-U强制立即写到本地磁盘（一般不建议，性能相对较差）
tcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.cap

#tcpdump 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带-w参 数的tcpdump 截获数据并保存到文件中，然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。

#tcpdump 与wireshark
#Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。
#我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。

#详细示例
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用wireshark分析

# 用tcpdump嗅探80端口的访问看看谁最高
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -n 20

# 查看是哪些爬虫在抓取内容。
tcpdump -i eth0 -l -s 0 -w - dst port 80 | strings | grep -i user-agent | grep -i -E 'bot|crawler|slurp|spider'

# 查看数据库执行的sql语句
tcpdump -i eth0 -s 0 -l -w - dst port 3306 | strings | egrep -i 'SELECT|UPDATE|DELETE|INSERT|SET|COMMIT|ROLLBACK|CREATE|DROP|ALTER|CALL'

# 打印TCP会话中的的开始和结束数据包, 并且数据包的源或目的不是本地网络上的主机.(nt: localnet, 实际使用时要真正替换成本地网络的名字))
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

# 打印所有源或目的端口是80, 网络层协议为IPv4, 并且含有数据,而不是SYN,FIN以及ACK-only等不含数据的数据包.(ipv6的版本的表达式可做练习)
tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
#(nt: 可理解为, ip[2:2]表示整个ip数据包的长度, (ip[0]&0xf)<<2)表示ip数据包包头的长度(ip[0]&0xf代表包中的IHL域, 而此域的单位为32bit, 要换算成字节数需要乘以4,　即左移2.　(tcp[12]&0xf0)>>4 表示tcp头的长度, 此域的单位也是32bit,　换算成比特数为 ((tcp[12]&0xf0) >> 4)　<<　２,　即 ((tcp[12]&0xf0)>>2).　((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0　表示: 整个ip数据包的长度减去ip头的长度,再减去tcp头的长度不为0, 这就意味着, ip数据包中确实是有数据.对于ipv6版本只需考虑ipv6头中的'Payload Length' 与 'tcp头的长度'的差值, 并且其中表达方式'ip[]'需换成'ip6[]'.)

# 打印长度超过576字节, 并且网关地址是snup的IP数据包
tcpdump 'gateway snup and ip[2:2] > 576'

# 打印所有IP层广播或多播的数据包， 但不是物理以太网层的广播或多播数据报
tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

# 打印除'echo request'或者'echo reply'类型以外的ICMP数据包( 比如,需要打印所有非ping 程序产生的数据包时可用到此表达式 .
#(nt: 'echo reuqest' 与 'echo reply' 这两种类型的ICMP数据包通常由ping程序产生))
tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

# 使用tcpdump抓取HTTP包
tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
#0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。

nmap [Scan Type(s)] [Options] {target specification}

命令选项
-sT     TCP connect() 扫描，这是最基本的 TCP 扫描方式。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息     
-sS     TCP 同步扫描 (TCP SYN)，因为不必全部打开一个 TCP 连接，所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是，很少有系统能够把这记入系统日志 
-sF,-sX,-sN     秘密 FIN 数据包扫描、圣诞树 (Xmas Tree)、空 (Null) 扫描模式。这些扫描方式的理论依据是：关闭的端口需要对你的探测包回应 RST 包，而打开的端口必需忽略有问题的包     
-sP     ping 扫描，用 ping 方式检查网络上哪些主机正在运行。当主机阻塞 ICMP echo 请求包是ping 扫描是无效的。nmap 在任何情况下都会进行 ping 扫描，只有目标主机处于运行状态，才会进行后续的扫描     
-sU     UDP 的数据包进行扫描，想知道在某台主机上提供哪些 UDP 服务，可以使用此选项     
-sA     ACK 扫描，这项高级的扫描方法通常可以用来穿过防火墙。     
-sW     滑动窗口扫描，非常类似于 ACK 的扫描     
-sR     RPC 扫描，和其它不同的端口扫描方法结合使用。     
-b      FTP 反弹攻击 (bounce attack)，连接到防火墙后面的一台 FTP 服务器做代理，接着进行端口扫描。
-P0     在扫描之前，不 ping 主机。     
-PT     扫描之前，使用 TCP ping 确定哪些主机正在运行     
-PS     对于 root 用户，这个选项让 nmap 使用 SYN 包而不是 ACK 包来对目标主机进行扫描。     
-PI     设置这个选项，让 nmap 使用真正的 ping(ICMP echo 请求）来扫描目标主机是否正在运行。  
-PB     这是默认的 ping 扫描选项。它使用 ACK(-PT) 和 ICMP(-PI) 两种扫描类型并行扫描。如果防火墙能够过滤其中一种包，使用这种方法，你就能够穿过防火墙。     
-O     这个选项激活对 TCP/IP 指纹特征 (fingerprinting) 的扫描，获得远程主机的标志，也就是操作系统类型
-I     打开 nmap 的反向标志扫描功能。     
-f     使用碎片 IP 数据包发送 SYN、FIN、XMAS、NULL。包增加包过滤、入侵检测系统的难度，使其无法知道你的企图     
-v     冗余模式。强烈推荐使用这个选项，它会给出扫描过程中的详细信息。     
-S <IP>     在一些情况下，nmap 可能无法确定你的源地址 。在这种情况使用这个选项给出指定 IP 地址 
-g port     设置扫描的源端口
-oN     把扫描结果重定向到一个可读的文件 logfilename 中 
-oS     扫描结果输出到标准输出。     
--host_timeout     设置扫描一台主机的时间，以毫秒为单位。默认的情况下，没有超时限制     
--max_rtt_timeout     设置对每次探测的等待时间，以毫秒为单位。如果超过这个时间限制就重传或者超时。默认值是大约 9000 毫秒     
--min_rtt_timeout     设置 nmap 对每次探测至少等待你指定的时间，以毫秒为单位     
-M count     置进行 TCP connect() 扫描时，最多使用多少个套接字进行并行的扫描

#Tcp ack 扫描，并发2000，速度快
nmap -n -PA --min-parallelism 2000 172.16.0.0/16 

#仅列出指定网段上的每台主机,不发送任何报文到目标主机.
[root@centos8 ~]#nmap -sL 10.0.0.0/24
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-23 12:28 CST
Nmap scan report for 10.0.0.0
Nmap scan report for 10.0.0.1
......
Nmap scan report for 10.0.0.254
Nmap scan report for 10.0.0.255
Nmap done: 256 IP addresses (0 hosts up) scanned in 1.04 seconds

#可以指定一个IP地址范围
[root@centos8 ~]#nmap -sP 10.0.0.1-10 # 是否存活
Nmap scan report for 10.0.0.1
Host is up (0.000081s latency).
... ...
Nmap done: 10 IP addresses (5 hosts up) scanned in 2.89 seconds

#批量扫描一个网段的主机存活数
nmap -sP -v 192.168.1.0/24
nmap –v –sn ip/24

#有些主机关闭了ping检测,所以可以使用-P0跳过ping的探测,可以加快扫描速度.
nmap -P0 192.168.1.100

#扫描主机
nmap –v –A IP 

#一次性扫描多台目标主机
[root@centos8 ~]#nmap 10.0.0.6 10.0.0.7
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-23 12:39 CST
Nmap scan report for 10.0.0.6
Host is up (0.00055s latency).
Not shown: 998 closed ports
PORT     STATE SERVICE
22/tcp open     ssh
111/tcp open rpcbind
MAC Address: 00:0C:29:4D:EF:2C (VMware)
Nmap scan report for 10.0.0.7
Host is up (0.00050s latency).
Not shown: 999 closed ports
PORT     STATE SERVICE
22/tcp open     ssh
MAC Address: 00:0C:29:29:F9:26 (VMware)
Nmap done: 2 IP addresses (2 hosts up) scanned in 101.01 seconds

#从一个文件中导入IP地址,并进行扫描
[root@centos8 ~]#cat hosts.txt
10.0.0.7
10.0.0.6
58.87.87.99

[root@centos8 ~]#nmap -iL hosts.txt
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-23 12:43 CST
Nmap scan report for 10.0.0.7
Host is up (0.0024s latency).
Not shown: 999 closed ports
PORT     STATE SERVICE
22/tcp open     ssh
MAC Address: 00:0C:29:29:F9:26 (VMware)
Nmap scan report for 10.0.0.6
Host is up (0.0032s latency).
Not shown: 998 closed ports
PORT     STATE SERVICE
22/tcp open     ssh
111/tcp open rpcbind
MAC Address: 00:0C:29:4D:EF:2C (VMware)
Nmap scan report for 58.87.87.99
Host is up (0.016s latency).
Not shown: 998 filtered ports
PORT         STATE SERVICE
80/tcp     open http
3306/tcp open mysql
Nmap done: 3 IP addresses (3 hosts up) scanned in 120.33 seconds

#探测目标主机开放的端口,可指定一个以逗号分隔的端口列表(如-PS22,443,80)
[root@centos8 ~]#nmap -PS22,80,443 10.0.0.1
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-23 12:31 CST
Nmap scan report for 10.0.0.1
Host is up (0.00042s latency).
Not shown: 996 filtered ports
PORT         STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
8082/tcp open blackice-alerts
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 12.65 seconds

#使用SYN半开放扫描
[root@centos8 ~]#nmap -sS 10.0.0.1
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-23 12:33 CST
Nmap scan report for 10.0.0.1
Host is up (-0.052s latency).
Not shown: 996 filtered ports
PORT         STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
8082/tcp open blackice-alerts
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 10.07 seconds

#扫描开放了TCP端口的设备
[root@centos8 ~]#nmap -sT 10.0.0.1
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-23 12:34 CST
Nmap scan report for 10.0.0.1
Host is up (0.00040s latency).
Not shown: 996 filtered ports
PORT         STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
8082/tcp open blackice-alerts
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 4.52 seconds

#扫描开放了UDP端口的设备
[root@centos8 ~]#nmap -sU 10.0.0.1
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-23 12:34 CST
Nmap scan report for 10.0.0.1
Host is up (0.00046s latency).
Not shown: 999 open|filtered ports
PORT     STATE SERVICE
137/udp open netbios-ns
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 18.52 seconds

#只扫描UDP端口
nmap –e eth1 -sU -O 10.0.0.1 

#扫描TCP和UDP端口
nmap -sTU -O 10.0.0.1 

#用于扫描目标主机服务版本号
[root@centos8 ~]#nmap -sV 10.0.0.7
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-23 12:37 CST
Nmap scan report for 10.0.0.7
Host is up (0.0011s latency).
Not shown: 999 closed ports
PORT     STATE SERVICE VERSION
22/tcp open     ssh         OpenSSH 7.4 (protocol 2.0)
MAC Address: 00:0C:29:29:F9:26 (VMware)
Service detection performed. Please report any incorrect results at
https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.97 seconds

#查看主机当前开放的端口
nmap localhost     

#查看主机端口（1024-65535）中开放的端口
nmap -p 1024-65535 localhost 

#探测目标主机开放的端口
nmap -PS 10.0.0.1 

#探测所列出的目标主机端口
nmap -PS22,80,3306 10.0.0.1 

#探测目标主机操作系统类型
nmap -O 10.0.0.1

#探测目标主机操作系统类型
nmap -A 10.0.0.1

nc: 由nc提供
另外一个实现：ncat,由nmap提供
文件传输方案：监听者为接收方
    nc -l PORT > /PATH/TO/SOMEFILE # 服务方监听端口并将数据写入文件
    nc IP PORT < /PATH/FROM/SOMEFILE # 客户方向服务方IP 端口传输数据

文件传输方案：监听者为接收方
    nc -l PORT < /PATH/FROM/SOMEFILE
    nc IP PORT > /PATH/TO/SOMEFILE
注意：传输目录需要先归档；

-p PORT： 指明连接监听的服务器时使用的端口；
web客户端：
    nc WEBSERVER PORT

扫描器：
    nc -v -w # IP -z PORTRAGE
        ~]# nc -w 1 172.16.100.7 -z 1-1023

聊天工具：
    nc -l PORT
    nc IP PORT
其它选项：
    -s SOURCE-IP

tc qdisc add dev eth0 root netem loss 50% # 设置网卡丢包率
tc qdisc add dev eth0 root netem delay 1000ms # 设置网卡延迟
tc qdisc show dev eth0
tc qdisc del