centos7网络命令：ping、dig、nsloopup、tcpdump

一、ping

1、命令参数：

-d 使用Socket的SO_DEBUG功能。

-f 极限检测。大量且快速地送网络封包给一台机器，看它的回应。

-n 只输出数值。

-q 不显示任何传送封包的信息，只显示最后的结果。[这个以后能加入到脚本中，作为ping结果判断的依据吗？]

-r 忽略普通的Routing Table，直接将数据包送到远端主机上。通常是查看本机的网络接口是否有问题。

-R 记录路由过程。:一般可以来测试网络链路在哪个环节有故障。

-v 详细显示指令的执行过程。

-c 数目：在发送指定数目的包后停止。

-i 秒数：设定间隔几秒送一个网络封包给一台机器，预设值是一秒送一次。

-I 网络界面：使用指定的网络界面送出数据包。

-l 前置载入：设置在送出要求信息之前，先行发出的数据包。

-p 范本样式：设置填满数据包的范本样式。

-s 字节数：指定发送的数据字节数，预设值是56，加上8字节的ICMP头，一共是64ICMP数据字节。

-t 存活数值：设置存活数值TTL的大小。

2、示例-将当前的信息打印到一个文件中

#!/bin/bash
ping 192.168.192.17 | awk '{ print $0"\t" strftime("%Y-%m-%d %H:%M:%S",systime()); fflush()}' >> ./log/ping17.txt &

[root@test2 cmd]# tail -f ./log/ping17.txt
PING 192.168.192.17 (192.168.192.17) 56(84) bytes of data.      2024-02-26 15:40:11
64 bytes from 192.168.192.17: icmp_seq=1 ttl=63 time=0.688 ms   2024-02-26 15:40:11
64 bytes from 192.168.192.17: icmp_seq=2 ttl=63 time=0.478 ms   2024-02-26 15:40:12
64 bytes from 192.168.192.17: icmp_seq=3 ttl=63 time=0.478 ms   2024-02-26 15:40:13
64 bytes from 192.168.192.17: icmp_seq=4 ttl=63 time=0.329 ms   2024-02-26 15:40:14
64 bytes from 192.168.192.17: icmp_seq=5 ttl=63 time=0.375 ms   2024-02-26 15:40:15
64 bytes from 192.168.192.17: icmp_seq=6 ttl=63 time=0.336 ms   2024-02-26 15:40:16
64 bytes from 192.168.192.17: icmp_seq=7 ttl=63 time=0.470 ms   2024-02-26 15:40:17

3、示例-结束进程

[root@test2 cmd]# ps -ef |grep ping
root     29252     1  0 15:40 pts/1    00:00:00 ping 192.168.192.17
root     29492 26727  0 15:40 pts/1    00:00:00 grep --color=auto ping
[root@test2 cmd]# kill -9 29252

二、dig

1、安装

dig 命令用于执行网络 DNS 查找。dig 是一个用于查询 DNS 名称服务器的灵活工具。它执行DNS查找并显示从查询的名称服务器返回的答案。
安装bind-utils： dig 和 host 工具位于 bind-utils 包中，而 nslookup 通常默认安装在CentOS 7上。要安装 bind-utils，运行以下命令：

 yum install bind-utils

验证安装：安装完成后，可以通过运行以下命令来检查这些工具是否已正确安装：

#对于 dig：
dig -v
#对于 host：
host -V
#对于 nslookup：
nslookup -version

2、语法格式

dig [@server] [-b address] [-c class] [-f filename] [-k filename][-m] [-p port#] [-q name] [-t type] [-x addr] [-y [hmac:]name:ke

选项说明

@<服务器地址>   #指定进行域名解析的域名服务器
-b    #指定使用本机的哪个IP地址向域名服务器发送域名查询请求
-f<文件名称>   #指定dig以批处理的方式运行
-P  #指定域名服务器所使用端口号
-t<类型>  #指定要查询的DNS数据类型
-x  #执行逆向域名查询
-4  #使用IPv4
-6  #使用IPv6
-h  #显示帮助信息

3、示例

• 只指定域名

[root@app3-paas ~]# dig junshi.sinoeyes.com; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.13 <<>> junshi.sinoeyes.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 261
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;junshi.sinoeyes.com.           IN      A;; ANSWER SECTION:
junshi.sinoeyes.com.    38      IN      CNAME   gtm-cn-9lb3e55uy09.sinoeyes.com.
gtm-cn-9lb3e55uy09.sinoeyes.com. 38 IN  A       59.46.134.61
gtm-cn-9lb3e55uy09.sinoeyes.com. 38 IN  A       175.170.139.175;; Query time: 22 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: 三 3月 13 11:19:27 CST 2024
;; MSG SIZE  rcvd: 113

• 指定域名和域名解析服务器

[root@app3-paas ~]# dig junshi.sinoeyes.com @192.168.100.5; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.13 <<>> junshi.sinoeyes.com @192.168.100.5
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1446
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;junshi.sinoeyes.com.           IN      A;; ANSWER SECTION:
junshi.sinoeyes.com.    35      IN      CNAME   gtm-cn-9lb3e55uy09.sinoeyes.com.
gtm-cn-9lb3e55uy09.sinoeyes.com. 35 IN  A       175.170.139.175
gtm-cn-9lb3e55uy09.sinoeyes.com. 35 IN  A       59.46.134.61;; Query time: 22 msec
;; SERVER: 192.168.100.5#53(192.168.100.5)
;; WHEN: 三 3月 13 11:20:25 CST 2024
;; MSG SIZE  rcvd: 113

4、示例-将当前的信息打印到一个文件中

#!/bin/bash
export PATH=$PATH:/usr/sbin
dig junshi.sinoeyes.com @192.168.100.5 +short >> /root/cmd/log/dns5.txt
date >> /root/cmd/log/dns5.txt
echo "-------------------" >> /root/cmd/log/dns5.txt

三、nslookup

1、安装

nslookup（name server lookup）命令用于查询域名 DNS 信息的工具。nslookup 有两种工作模式，即“交互模式”和“非交互模式”。

[root@CentOS7-1 ~]# yum install -y bind-utils

2、语法格式

nslookup [-option] [name | -] [server]

选项说明

-query=TYPE      #设置查询类型
-timeout=NUMBER  #设置等待响应的超时时间，单位秒
-sil             #不显示任何警告信息

3、示例

[root@app3-paas ~]# nslookup junshi.sinoeyes.com
Server:         114.114.114.114
Address:        114.114.114.114#53Non-authoritative answer:
junshi.sinoeyes.com     canonical name = gtm-cn-9lb3e55uy09.sinoeyes.com.
Name:   gtm-cn-9lb3e55uy09.sinoeyes.com
Address: 59.46.134.61
Name:   gtm-cn-9lb3e55uy09.sinoeyes.com
Address: 175.170.139.175

四、tcpdump抓包

1、安装

yum install -y tcpdump

2、语法格式：

tcpdump [ -AdDefIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ][ -C file_size ] [ -G rotate_seconds ] [ -F file ][ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ][ -Q|-P in|out|inout ][ -r file ] [ -s snaplen ] [ -T type ] [ -w file ][ -W filecount ][ -E spi@ipaddr algo:secret,...  ][ -y datalinktype ] [ -z postrotate-command ] [ -Z user ][ expression ]

选项说明

-A 以ASCII格式打印出所有分组，并将链路层的头最小化。
-c 在收到指定的数量的分组后，tcpdump就会停止。
-C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size
中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size
的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。
-d 将匹配信息包的代码以人们能够理解的汇编格式给出。
-dd 将匹配信息包的代码以c语言程序段的格式给出。
-ddd 将匹配信息包的代码以十进制的形式给出。
-D 打印出系统中所有可以用tcpdump截包的网络接口。
-e 在输出行打印出数据链路层的头部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。
-f 将外部的Internet地址以数字的形式打印出来。
-F 从指定的文件中读取表达式，忽略命令行中给出的表达式。
-i 指定监听的网络接口。
-l 使标准输出变为缓冲行形式。
-L 列出网络接口的已知数据链路。
-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。
-M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。
-n 不把网络地址转换成名字。
-N 不输出主机名中的域名部分。例如，link.linux265.com 只输出link。
-t 在输出的每一行不打印时间戳。
-O 不运行分组分组匹配（packet-matching）代码优化程序。
-P 不将网络接口设置成混杂模式。
-q 快速输出。只输出较少的协议信息。
-r 从指定的文件中读取包(这些包一般通过-w选项产生)。
-S 将tcp的序列号以绝对值形式输出，而不是相对值。
-s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。
-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。
-t 不在每一行中输出时间戳。
-tt 在每一行中输出非格式化的时间戳。
-ttt 输出本行和前面一行之间的时间差。
-tttt 在每一行中输出由date处理的默认格式的时间戳。
-u 输出未解码的NFS句柄。
-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。
-vv 输出详细的报文信息。
-w 直接将分组写入文件中，而不是不分析并打印出来。
-x 以16进制数形式显示每一个报文 (去掉链路层报头) . 可以显示较小的完整报文, 否则只显示snaplen个字节.
-xx 以16进制数形式显示每一个报文（包含链路层包头）。
-X 以16进制和ASCII码形式显示每个报文（去掉链路层报头）。
-XX 以16进制和ASCII吗形式显示每个报文（包含链路层报头）。
-y 设置tcpdump 捕获数据链路层协议类型
-Z 使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限), 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID

3 示例

# 监听特定网卡
tcpdump -i en0# 监听特定主机
#例子：监听本机跟主机182.254.38.55之间往来的通信包。
#备注：出、入的包都会被监听。
tcpdump host 182.254.38.55# 特定来源、目标地址的通信
#特定来源
tcpdump src host hostname/ip# 特定目标地址
tcpdump dst host hostname/ip# 如果不指定src跟dst，那么来源 或者目标 是hostname的通信都会被监听
tcpdump host hostname/ip # 过滤网段
#若你的ip范围是一个网段，可以直接这样指定
$ tcpdump net 192.168.10.0/24# 根据源网段进行过滤
$ tcpdump src net 192.168# 根据目标网段进行过滤
$ tcpdump dst net 192.168# 特定端口
tcpdump port 3000#端口同样可以再细分为源端口，目标端口
# 根据源端口进行过滤
$ tcpdump src port 8088# 根据目标端口进行过滤
$ tcpdump dst port 8088#如果你想要同时指定两个端口你可以这样写
$ tcpdump port 80 or port 8088$ tcpdump port 80 or 8088#如果你的想抓取的不再是一两个端口，而是一个范围，一个一个指定就非常麻烦了，此时你可以这样指定一个端口段。
$ tcpdump portrange 8000-8080
$ tcpdump src portrange 8000-8080
$ tcpdump dst portrange 8000-8080#对于一些常见协议的默认端口，我们还可以直接使用协议名，而不用具体的端口号,比如 http == 80，https == 443 等
$ tcpdump tcp port http# 基于协议进行过滤：proto
#常见的网络协议有：tcp, udp, icmp, http, ip,ipv6 等
#若你只想查看 icmp 的包，可以直接这样写
$ tcpdump icmp#protocol 可选值：ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx, or netbeui# 来源主机+端口+TCP
#监听来自主机123.207.116.169在端口22上的TCP数据包
tcpdump tcp port 22 and src host 123.207.116.169# 监听特定主机之间的通信
tcpdump ip host 210.27.48.1 and 210.27.48.2#210.27.48.1除了和210.27.48.2之外的主机之间的通信
tcpdump ip host 210.27.48.1 and ! 210.27.48.2# 稍微详细点的例子
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析# 抓http包
# 限制抓包的数量
#如下，抓到1000个包后，自动退出
tcpdump -c 1000# 保存到本地
#备注：tcpdump默认会将输出写到缓冲区，只有缓冲区内容达到一定的大小，或者tcpdump退出时，才会将输出写到本地磁盘,使用 -w 参数后接一个以 .pcap 后缀命令的文件名，就可以将 tcpdump 抓到的数据保存到文件中。
$ tcpdump icmp -w icmp.pcaptcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.pcap# 也可以加上-U强制立即写到本地磁盘（一般不建议，性能相对较差）
# 实战例子
先看下面一个比较常见的部署方式，在服务器上部署了nodejs server，监听3000端口。nginx反向代理监听80端口，并将请求转发给nodejs server（127.0.0.1:3000）。
浏览器 -> nginx反向代理 -> nodejs server
问题：假设用户(183.14.132.117)访问浏览器，发现请求没有返回，该怎么排查呢？
步骤一：查看请求是否到达nodejs server -> 可通过日志查看。
步骤二：查看nginx是否将请求转发给nodejs server。tcpdump port 8383 
这时你会发现没有任何输出，即使nodejs server已经收到了请求。因为nginx转发到的地址是127.0.0.1，用的不是默认的interface，此时需要显示指定interfacetcpdump port 8383 -i lo
备注：配置nginx，让nginx带上请求侧的host，不然nodejs server无法获取 src host，也就是说，下面的监听是无效的，因为此时对于nodejs server来说，src host 都是 127.0.0.1tcpdump port 8383 -i lo and src host 183.14.132.117
步骤三：查看请求是否达到服务器tcpdump -n tcp port 8383 -i lo and src host 183.14.132.117

4、示例-将当前的信息打印到一个文件中

#!/bin/bash
tcpdump -i ens160 vrrp -n >> /root/cmd/log/tcpdump.txt
echo "-------------------" >> /root/cmd/log/tcpdump.txt

[root@tidb49 cmd]# tail -f log/tcpdump.txt 
13:50:54.005105 IP 192.168.192.48 > 192.168.192.49: VRRPv2, Advertisement, vrid 142, prio 90, authtype simple, intvl 1s, length 20
13:50:55.005522 IP 192.168.192.48 > 192.168.192.49: VRRPv2, Advertisement, vrid 142, prio 90, authtype simple, intvl 1s, length 20
13:50:56.006615 IP 192.168.192.48 > 192.168.192.49: VRRPv2, Advertisement, vrid 142, prio 90, authtype simple, intvl 1s, length 20
13:50:57.007782 IP 192.168.192.48 > 192.168.192.49: VRRPv2, Advertisement, vrid 142, prio 90, authtype simple, intvl 1s, length 20# 抓取内容
21:26:49.013621 IP 172.20.20.1.15605 > 172.20.20.2.5920: Flags [P.], seq 49:97, ack 106048, win 4723, length 48第一列：时分秒毫秒 21:26:49.013621
第二列：网络协议 IP
第三列：发送方的ip地址+端口号，其中172.20.20.1是 ip，而15605 是端口号
第四列：箭头 >， 表示数据流向
第五列：接收方的ip地址+端口号，其中 172.20.20.2 是 ip，而5920 是端口号
第六列：冒号
第七列：数据包内容，包括Flags 标识符，seq 号，ack 号，win 窗口，数据长度 length，其中 [P.] 表示 PUSH 标志位为 1