系统检测工具

tcpdump

-n，使用IP地址表示主机，而不是主机名;使用数字表示端口号，而不是服务名称

-i，指定要监听的网卡接口。“-i any”表示抓取所有网卡接口上的数据包。

-v，输出一个稍微详细的信息，例如，显示IP数据包中的TTL和TOS信息。

-t，不打印时间戳。

-e，显示以太网帧头部信息。-c，仅抓取指定数量的数据包。

-x，以十六进制数显示数据包的内容，但不显示包中以太网帧的头部信息。

-X，与-x选项类似，不过还打印每个十六进制字节对应的ASCHI字符。

-xx，与-X相同，不过还打印以太网帧的头部信息。

-s，设置抓包时的抓取长度。当数据包的长度超过抓取长度时，tcpdump抓取到的将是被截断的数据包。在4.0以及之前的版本中，默认的抓包长度是68字节。这对于IP、TCP和 UDP等协议就已经足够了，但对于像DNS、NFS这样的协议，68字节通常不能容纳一个完整的数据包不过4.0之后的版本，默认的抓包长度被修改为65 535字节，因此我们不用再担心抓包长度的问题了。

-s，以绝对值来显示TCP报文段的序号，而不是相对值。

-w，将tcpdump的输出以特殊的格式定向到某个文件。

-r，从文件读取数据包信息并显示之。

tcpdump表达式的操作数分为三种：

类型，解释其后面紧跟着的参数的含义。tcpdump支持的类型包括host、net、port和portrange。它们分别指定主机名（或IP地址)，用CIDR方法表示的网络地址，端口号以及端口范围。比如，要抓取整个1.2.3.0/255.255.255.0网络上的数据包，可以使用如下命令:

tcpdump net 1.2.3.0/24

方向，src指定数据包的发送端，dst指定数据包的目的端。比如要抓取进人端口13579的数据包，可以使用如下命令:

tcpdump dst port 13579

协议，指定目标协议。比如要抓取所有ICMP数据包，可以使用如下命令:.

tcpdump icmp

losf(list open file)

-i，显示socket 文件描述符。该选项的使用方法是:

lsof -i [46] [protocol ] [@hostname l ipaddr ] [ : service lport]

其中，4表示IPv4协议，6表示IPv6协议﹔protocol指定传输层协议，可以是TCP或者UDP ; hostname指定主机名;ipaddr指定主机的IP地址: service指定服务名;port指定端口号。比如，要显示所有连接到主机192.168.1.108的ssh服务的socket文件描述符，可以使用命令:

lsof -i@192.168.1.108:22

-u，显示指定用户启动的所有进程打开的所有文件描述符。

-c，显示指定的命令打开的所有文件描述符。比如要查看websrv程序打开了哪些文件描述符，可以使用如下命令:

losf -c websrv 

-p，显示指定进程打开的所有文件描述符。

-t，仅显示打开了目标文件描述符的进程的PID。

nc（netcat）

nc (netcat）命令短小精干、功能强大，有着“瑞士军刀”的美誉。它主要被用来快速构建网络连接。我们可以让它以服务器方式运行，监听某个端口并接收客户连接，因此它可用来调试客户端程序。我们也可以使之以客户端方式运行，向服务器发起连接并收发数据，因此它可以用来调试服务器程序，此时它有点像telnet程序。

-i，设置数据包传送的时间间隔。

-l，以服务器方式运行，监听指定的端口。nc命令默认以客户端方式运行。

-k，重复接受并处理某个端口上的所有连接，必须与-l选项一起使用。

-n，使用IP地址表示主机，而不是主机名﹔使用数字表示端口号，而不是服务名称。

-p，当nc命令以客户端方式运行时，强制其使用指定的端口号。
-s，设置本地主机发送出的数据包的IP地址。

-C，将CR和LF两个字符作为行结束符。

-U，使用UNIX本地域协议通信。
-u，使用UDP协议。nc命令默认使用的传输层协议是TCP协议

-w，如果nc客户端在指定的时间内未检测到任何输入，则退出。
-X，当nc客户端和代理服务器通信时，该选项指定它们之间使用的通信协议。目前nc支持的代理协议包括“4”(SOcKs v.4)，“5”(SOCKs v.5）和“connect”(HTTPS proxy)。nc默认使用的代理协议是SOCKs v.5.
-x，指定目标代理服务器的IP地址和端口号。比如，要从 Kongming20连接到ernest-laptop 上的squid代理服务器，并通过它来访问www.baidu.com 的Web服务，可以使用如下命令:

nc -x ernest-laptop:1080 -X connect www.baidu.com 80

-z，扫描目标机器上的某个或某些服务是否开启（端口扫描)。比如，要扫描机器ernest-laptop上端口号在20~50之间的服务，可以使用如下命令:

nc -z ernest -latop 20-50

netstat

netstat是一个功能很强大的网络信息统计工具。它可以打印本地网卡接口上的全部连接、路由表信息、网卡接口信息等。我们主要利用的是上述功能中的第一个，即显示TCP连接及其状态信息。毕竞，要获得路由表信息和网卡接口信息，我们可以使用输出内容更丰富的route和ifconfig命令。

-n，使用IP地址表示主机，而不是主机名;使用数字表示端口号，而不是服务名称。-a，显示结果中也包含监听socket。

-t，仅显示TCP连接。

-r，显示路由信息。

-i，显示网卡接口的数据流量。

-c，每隔1s输出一次。

-o，显示socket定时器（比如保活定时器）的信息。-p，显示socket所属的进程的PID和名字。