标签：数据包 学习 host Linux 进程 100.0 tcpdump nn1

1、100.0.0.16/28 对应网段的网关地址、广播地址、可分配IP地址范围

    101.100.0.0.16  255.255.255.1110,0000   2^4=16个网段
    100.0.0.16属于100.0.0.16-31/28
    网关地址：100.0.0.16
    广播地址：100.0.0.31
    可分配ip地址范围：100.0.0.17-30

2、使用man手册学习tcpdump的使用

        tcpdump是linux上自带的一个抓包软件(mac也有)，功能强大，也可以抓取经过指定网卡的所有协议包。由于是命令行工具，tcpdump抓取到的包不易于分析，一个常见的做法是将tcpdump抓到的包输出到某个文件，然后将文件拷贝下来用wireshark分析。
        一些简单的过滤参数：

-i 参数表示抓取指定网卡的内容。具体网卡可以通过 ifconfig 命令查看
#如果不指定网卡，默认tcpdump只会监视第一个网络接口

    tcpdump -i eth1

#打印所有www.baidu.com相关的包,这个host后面可以填 域名，也可以填ip

tcpdump host www.baidu.com
tcpdump host 192.168.0.1

打印 nn1和nn2或nn3 主机间通信的包，这里可以替换成ip

tcpdump host nn1 and \( nn2 or nn3 \)

#打印nn1和非nn2之间的ip数据包

tcpdump ip host nn1 and not nn2

#发送者是nn1的数据包

tcpdump -i eth0 src host nn1

#接受者是nn1的数据包

tcpdump -i eth0 dst host nn1

#指定tcp端口是23以及host是210.27.48.1数据包

tcpdump tcp port 23 and host 210.27.48.1

抓包内容输出到文件：

#抓取指定网卡的包输出到test.cap

tcpdump -i en0 -w test.cap

之后我们可以把test.cap直接用wireshark打开，就可以很直观的分析包了。

用tcpdump输出cap文件包：

tcpdump -r test.cap

优点：

a、功能强大，可以抓所有协议的包
b、linux自带，直接在所有的服务器上面抓包，这是其他抓包软件不具备的

缺点：

a、数据包分析困难，需要配合wireshark使用
b、和wireshark一样，无法分析https数据包

3、详细叙述僵尸进程产生的原因以及危害
僵死进程产生的原因：

当前进程中生成一个子进程，一般需要调用fork这个系统调用，fork这个函数的特别之处在于一次调用，两次返回，一次返回到父进程中，一次返回到子进程中，我们可以通过返回值来判断其返回点：如果子进程先于父进程退出， 同时父进程又没有调用wait/waitpid，则该子进程将成为僵尸进程。通过ps命令，我们可以看到该进程的状态为Z(表示僵死)

僵死进程的危害：

僵尸进程会占用系统资源，如果很多，则会严重影响服务器的性能；

4、详细说明vmstat输出结果的含义

                        procs：
                            r：等待运行的进程的个数；CPU上等待运行的任务的队列长度
                            b：处于不可中断睡眠态的进程个数；被阻塞的任务队列的长度
                        memory：
                            swpd：交换内存使用总量
                            free：空闲的物理内存总量
                            buffer：用于buffer的内存总量；缓冲
                            cache：用于cache的内存总量；缓存
                        swap：
                            si：数据进入swap中的数据速率（kb/s）
                            so：数据离开swap的速率（kb/s）
                        io：
                            bi：从块设备读入数据到内存的速率（kb/s）
                            bo：保存数据至块设备的速率（kb/s）
                        system：
                            ln：interrupts：中断速率
                            cs:context switch,上下文，切换的速率
                        cpu：
                            us：用户空间
                            sy：system
                            id：ldle
                            wa：wait
                            st：stolen

标签：数据包,学习,host,Linux,进程,100.0,tcpdump,nn1
来源： https://blog.51cto.com/13369003/2426521

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。