通过tcpdump确认Linux系统是否收到和响应ping包
2017-05-24 13:59
127 查看
简单说就是发现某系统无法被ping通,需要确认是服务器收到了ping包没有响应,还是它压根没有收到ping包
在Linux系统上执行以下命令
-i:指定检测哪个网口,不指定此参数将捕获所有接口数据,包括lo;
#-v:显示详细信息,可选,对于上述问题来讲,不加-v也能完成,且输出格式更整齐;
icmp:ping包走icmp协议,这个不用解释了吧
执行命令后,查看是否有request和reply。如下:
出现request说明系统收到ping包,出现reply说明系统响应ping包。
如果只出现request,那么
1、检查sysctl -a | grep icmp_echo,确认net.ipv4.icmp_echo_ignore_all=0
2、检查iptables -vL,确认-p icmp为ACCPET
如果没有request和reply都没有,那么说明ping包未能到达此主机,需要检查链路或者前端防火墙的策略。
tcpdump的选项介绍
-a将网络地址和广播地址转变成名字;
-b在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。tcpdump -b arp 将只显示网络中的arp即地址转换协议信息;
-c在收到指定数目的包后,tcpdump就会停止;
-d将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd将匹配信息包的代码以c语言程序段的格式给出;
-ddd将匹配信息包的代码以十进制的形式给出;
-e在输出行打印出数据链路层的头部信息;
-f将外部的Internet地址以数字的形式打印出来;
-F从指定的文件中读取表达式,忽略其它的表达式;
-i指定监听的网络接口;
-l使标准输出变为缓冲行形式,如tcpdump -l >tcpcap.txt将得到的数据存入tcpcap.txt文件中;
-n不进行IP地址到主机名的转换;
-N不打印出默认的域名
-nn不进行端口名称的转换;
-O不进行匹配代码的优化,当怀疑某些bug是由优化代码引起的, 此选项将很有用;
-r从指定的文件中读取包(这些包一般通过-w选项产生);
-s抓取数据包时默认抓取长度为68字节。加上 -s 0 后可以抓到完整的数据包
-t在输出的每一行不打印UNIX时间戳,也就是不显示时间;
-T将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp;
-tt打印原始的、未格式化过的时间;
-v输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv输出详细的报文信息;
-w直接将包写入文件中,并不分析和打印出来;
以下是tcpdump的其他一些示例(转载)
1、抓取包含10.10.10.122的数据包
2、抓取包含10.10.10.0/24网段的数据包
3、抓取包含端口22的数据包
4、抓取udp协议的数据包
5、抓取icmp协议的数据包
6、抓取arp协议的数据包
7、抓取ip协议的数据包
8、抓取源ip是10.10.10.122数据包。
9、抓取目的ip是10.10.10.122数据包
10、抓取源端口是22的数据包
11、抓取源ip是10.10.10.253且目的ip是22的数据包
12、抓取源ip是10.10.10.122或者包含端口是22的数据包
13、抓取源ip是10.10.10.122且端口不是22的数据包
14、抓取源ip是10.10.10.2且目的端口是22,或源ip是10.10.10.65且目的端口是80的数据包。
15、抓取源ip是10.10.10.59且目的端口是22,或源ip是10.10.10.68且目的端口是80的数据包。
16、把抓取的数据包记录存到/tmp/fill文件中,当抓取100个数据包后就退出程序。
17、从/tmp/fill记录中读取tcp协议的数据包
18、从/tmp/fill记录中读取包含10.10.10.58的数据包
原文 http://foolishfish.blog.51cto.com/3822001/1532699
在Linux系统上执行以下命令
#-v:显示详细信息,可选,对于上述问题来讲,不加-v也能完成,且输出格式更整齐;
icmp:ping包走icmp协议,这个不用解释了吧
执行命令后,查看是否有request和reply。如下:
如果只出现request,那么
1、检查sysctl -a | grep icmp_echo,确认net.ipv4.icmp_echo_ignore_all=0
2、检查iptables -vL,确认-p icmp为ACCPET
如果没有request和reply都没有,那么说明ping包未能到达此主机,需要检查链路或者前端防火墙的策略。
tcpdump的选项介绍
-a将网络地址和广播地址转变成名字;
-b在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。tcpdump -b arp 将只显示网络中的arp即地址转换协议信息;
-c在收到指定数目的包后,tcpdump就会停止;
-d将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd将匹配信息包的代码以c语言程序段的格式给出;
-ddd将匹配信息包的代码以十进制的形式给出;
-e在输出行打印出数据链路层的头部信息;
-f将外部的Internet地址以数字的形式打印出来;
-F从指定的文件中读取表达式,忽略其它的表达式;
-i指定监听的网络接口;
-l使标准输出变为缓冲行形式,如tcpdump -l >tcpcap.txt将得到的数据存入tcpcap.txt文件中;
-n不进行IP地址到主机名的转换;
-N不打印出默认的域名
-nn不进行端口名称的转换;
-O不进行匹配代码的优化,当怀疑某些bug是由优化代码引起的, 此选项将很有用;
-r从指定的文件中读取包(这些包一般通过-w选项产生);
-s抓取数据包时默认抓取长度为68字节。加上 -s 0 后可以抓到完整的数据包
-t在输出的每一行不打印UNIX时间戳,也就是不显示时间;
-T将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp;
-tt打印原始的、未格式化过的时间;
-v输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv输出详细的报文信息;
-w直接将包写入文件中,并不分析和打印出来;
以下是tcpdump的其他一些示例(转载)
1、抓取包含10.10.10.122的数据包
12、抓取源ip是10.10.10.122或者包含端口是22的数据包
相关文章推荐
- 通过tcpdump确认Linux系统是否收到和响应ping包
- Linux系统如何禁用ping响应
- 如何查看linux系统是否禁ping
- 通过chattr lsattr命令设置Linux文件系统的隐藏权限
- 通过PXE远程安装Linux系统全程解析
- Linux 系统下通过脚本实现远程自动备份
- 点击连接,弹出对话框,通过确认是否继续连接
- 一个在Linux系统下的入侵响应案例
- 通过COM口管理Linux系统服务器简介
- VC判断目标主机是否存活,模拟系统的ping
- Linux通过0x80进行系统调用
- 判断Linux系统是否被黑的方法
- 判断Linux系统是否被黑的方法
- 通过Linux系统伪装方法加固系统安全
- PHP - Manual手册 - XL. Filesystem 文件系统函数 - is_uploaded_file判断文件是否是通过 HTTP POST 上传的
- Linux系统通过手机GPRS无线上网
- 一个在Linux系统下的入侵响应案例
- 通过Linux系统伪装方法加固系统安全
- 通过Linux系统伪装方法加固系统安全
- 在Linux系统下检测U盘是否已连接的方法