1寸痢、100.0.0.16/28?對應(yīng)網(wǎng)段的網(wǎng)關(guān)地址、廣播地址、可分配IP地址范圍
????十進(jìn)制28位子網(wǎng)掩碼對應(yīng)二進(jìn)制子網(wǎng)掩碼 255.255.255.240
? ??廣播地址:100.0.0.31/28
? ??可分配ip地址范圍:100.0.0.16 -- 100.0.0.31
????可分配16個子網(wǎng)
? ??網(wǎng)關(guān)地址:在學(xué)路由交換的時候一般都會將有效ip地址范圍最后一個地址設(shè)置為網(wǎng)關(guān)地址,即100.0.0.30
?100.0.0.16為主機(jī)地址,100.0.0.31為廣播地址幢哨,所以有效的ip地址范圍為 100.0.0.17-100.0.0.30
2、使用man手冊學(xué)習(xí)tcpdump的使用
(1)概述
tcpdump是用來抓取網(wǎng)絡(luò)包內(nèi)容描述信息的工具嫂便,根據(jù)使用者的定義對網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲的包分析工具嘱么,tcpdump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡(luò)層顽悼、協(xié)議曼振、主機(jī)、網(wǎng)絡(luò)或端口的過濾蔚龙,并提供and冰评、or、not等邏輯語句來幫助你去掉無用的信息木羹。
(2)實(shí)用命令實(shí)例
默認(rèn)啟動
# tcpdump
普通情況下甲雅,直接啟動tcpdump將監(jiān)視第一個網(wǎng)絡(luò)接口上所流過的數(shù)據(jù)包。
監(jiān)視指定網(wǎng)絡(luò)接口的數(shù)據(jù)包
# tcpdump -i eth1
如果不指定網(wǎng)卡坑填,默認(rèn)tcpdump只會監(jiān)視第一個網(wǎng)絡(luò)接口抛人,一般是eth0
監(jiān)視指定主機(jī)的數(shù)據(jù)包
打印所有進(jìn)入或離開HOSTNAME的數(shù)據(jù)包
# tcpdump host HOSTNAME
也可以指定ip,例如截獲所有172.16.10.10的主機(jī)收到的和發(fā)出的所有的數(shù)據(jù)包
# tcpdump host 172.16.10.10
截獲主機(jī)172.16.10.10和主機(jī)172.16.10.6或172.16.10.100的通信
# tcpdump host 172.16.10.10 and \( 172.16.10.6 or 172.16.100 \)
打印centos與xingxinchao或者redhat之間通信的數(shù)據(jù)包
# tcpdump host centos and \( xingxinchao or redhat \)
打印ace與任何其它主機(jī)之間通信的ip數(shù)據(jù)包脐瑰,但不包括helios之間的數(shù)據(jù)包
# tcpdump ip host ace and not helios
監(jiān)視所有送到主機(jī)hostname的數(shù)據(jù)包
# tcpdump -i eth0 dst host hostname
監(jiān)視指定主機(jī)和端口的數(shù)據(jù)包
如果想要獲取主機(jī)210.27.48.1接受或發(fā)出的telnet包妖枚,使用如下命令
# tcpdump tcp port 23 and host 210.27.48.1
對本機(jī)的udp 123端口進(jìn)行監(jiān)視 123位ntp的服務(wù)端口
# tcpdump udp port 23
常用選項(xiàng):
(1)tcp:ip、icmp苍在、arp绝页、rarp、tcp寂恬、udp這些選項(xiàng)等都要放到第一個參數(shù)的位置续誉,用來過濾數(shù)據(jù)的類型
(2)-i eth0:只抓指定的接口eth0的數(shù)據(jù)包
(3)-t:不顯示時間戳
(4)-s 0:抓取數(shù)據(jù)包時默認(rèn)抓取長度為68字節(jié)。加上-s 0 后可以抓到完整的數(shù)據(jù)包
(5)-c 100:只抓取指定的100個數(shù)據(jù)包
(6)dst port 初肉! 22:不抓取目標(biāo)端口是22的數(shù)據(jù)包
(7)src net 192.168.1.0/24:數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24
(8)-w ./target.cap:保存成cap文件酷鸦,方便用wireshark分析
3、詳細(xì)敘述僵尸進(jìn)程產(chǎn)生的原因以及危害
(1)什么是僵尸進(jìn)程
當(dāng)子進(jìn)程(child process)先于父進(jìn)程(parent process)退出,但是父進(jìn)程沒有調(diào)用wait/waitpid回收子進(jìn)程的資源臼隔,則子進(jìn)程變成僵尸進(jìn)程嘹裂。但是如果該進(jìn)程的父進(jìn)程已經(jīng)結(jié)束,那該進(jìn)程就不會變成僵尸進(jìn)程躬翁,因?yàn)槊總€進(jìn)程結(jié)束的時候焦蘑,系統(tǒng)會掃描所有運(yùn)行中的進(jìn)程盯拱,看看有沒有哪個進(jìn)程是剛剛結(jié)束的子進(jìn)程盒发,如果有就由init來接管它,成為它的父進(jìn)程狡逢。
(2)危害
如果父進(jìn)程不調(diào)用wait/waitpid宁舰,則子進(jìn)程的保留信息不回被釋放,造成內(nèi)核資源的無法回收奢浑,同時進(jìn)程號會一直被占用蛮艰,系統(tǒng)所能使用的進(jìn)程號是有限的,大量的產(chǎn)生僵尸進(jìn)程將會導(dǎo)致系統(tǒng)不能產(chǎn)生新的進(jìn)程雀彼。
(3)怎么避免僵尸進(jìn)程
防止的辦法是當(dāng)父進(jìn)程fork一個子進(jìn)程后壤蚜,必須通過wait/waitpid等函數(shù)等待子進(jìn)程結(jié)束,但這會導(dǎo)致父進(jìn)程掛起徊哑,所以通常的做法使用signal函數(shù)為SIGCHLD安裝handler袜刷,在handler函數(shù)中調(diào)用wait/waitpid函數(shù)進(jìn)行回收
4、詳細(xì)說明vmstat輸出結(jié)果的含義
[root@localhost ~]# vmstat
procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu-----
r? b? swpd? free? buff? cache? si? so? ? bi? ? bo? in? cs us sy id wa st
1? 0? ? ? 0 3533764? 2084 172880? ? 0? ? 0? ? 3? ? 0? 18? 16? 0? 0 100? 0? 0
(1)procs:(進(jìn)程相關(guān)信息)
? ? ????r:運(yùn)行和等待運(yùn)行的進(jìn)程個數(shù)莺丑,cpu上等待運(yùn)行的任務(wù)的隊(duì)列長度
? ? ? ? b:處于不可中斷睡眠狀態(tài)的進(jìn)程個數(shù)著蟹;被阻塞的任務(wù)隊(duì)列長度
(2)memory:(內(nèi)存相關(guān)信息)
? ? ? ? swad:虛擬內(nèi)存使用量
? ? ? ? free:物理內(nèi)存使用量
? ? ? ? buffer:用于buffer的內(nèi)存總量
? ? ? ? cache:用于cache的內(nèi)存總量
? ??????
?(3)swap:(交換分區(qū)信息)
? ? ? ? ? ? si:數(shù)據(jù)進(jìn)入swap中的數(shù)據(jù)速率(KB/s)
? ? ? ? ? ? so:數(shù)據(jù)離開swap的速率(KB/s)
? ? (4)io:io相關(guān)信息
? ? ? ? ? ? bi:從塊設(shè)備讀入數(shù)據(jù)到系統(tǒng)的速率(KB/s)
? ? ? ? ? ? bo:保存數(shù)據(jù)至塊設(shè)備的速率(KB/s)
? ? (5)system:(內(nèi)核相關(guān)信息)
? ? ? ? ? ? in:每秒產(chǎn)生的中斷數(shù)量
? ? ? ? ? ? cs:context switch,每秒上下文切換速率(數(shù)量)
? ? ? ?(6)cpu:cpu時間相關(guān)信息
? ? ? ? ? ? us:user space梢莽,用戶空間占用CPU的時間百分比
? ? ? ? ? ? sy:system萧豆,內(nèi)核空間占用cpu的時間百分比
? ? ? ? ? ? id:空閑時間百分比*(2.5.41之前,還包含等待io的時間)
? ? ? ? ? ? wa:等待io的時間百分比(2.5.41之前昏名,被包含在id時間里)
? ? ? ? ? ? st:被虛擬機(jī)偷走的時間(2.6.11之后才有)
? ??
