1警儒、100.0.0.16/28 對(duì)應(yīng)網(wǎng)段的網(wǎng)關(guān)地址、廣播地址置逻、可分配IP地址范圍

廣播地址：100.0.0.31

可分配IP地址范圍：100.0.0.17 到 100.0.0.30

網(wǎng)關(guān)地址：為可分配地址中的任意一個(gè)

2玩讳、使用man手冊(cè)學(xué)習(xí)tcpdump的使用

tcpdump - 轉(zhuǎn)儲(chǔ)網(wǎng)絡(luò)上的數(shù)據(jù)流

? ? ? tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ]

? ? ? ? ? ? ? [ -i interface ] [ -r file ] [ -s snaplen ]

? ? ? ? ? ? ? [ -T type ] [ -w file ] [ expression ]

選項(xiàng)(OPTIONS)

?-a? ?試著把網(wǎng)絡(luò)和廣播地址轉(zhuǎn)換成名稱(chēng)。

? -c? ?當(dāng)收到count報(bào)文后退出刮萌。

? -d? ?把編譯好的報(bào)文匹配代碼(packet-matching code)翻譯成可讀形式驮配，傳往標(biāo)準(zhǔn)輸出，然后退出着茸。

?-dd? ?把報(bào)文匹配代碼(packet-matching code)以C程序片斷的形式輸出壮锻。

?-ddd 把報(bào)文匹配代碼(packet-matching? code)以十進(jìn)制數(shù)形式輸出(前面加上總數(shù))。

?-e? ? ?顯示鏈路層報(bào)頭涮阔。

?-f? ? ? 以數(shù)字形式顯示'外部的'互聯(lián)網(wǎng)地址猜绣，而不是字符形式

?-F? ? ?把file的內(nèi)容用作過(guò)濾表達(dá)式。忽略命令行上 的表達(dá)式敬特。

?-i? ? ? 監(jiān)聽(tīng)interface掰邢。如果不指定接口，tcpdump在系統(tǒng)的接口清單中伟阔，尋找號(hào)碼最小辣之，已經(jīng)配置好的接口 (loopback 除外)。選中的時(shí)候會(huì)中斷連接皱炉。

?-l? ? ? ?行緩沖標(biāo)準(zhǔn)輸出怀估。可用于捕捉數(shù)據(jù)的同時(shí)查看數(shù)據(jù)合搅。

?-n? ? ? 不要把地址轉(zhuǎn)換成名字(指的是主機(jī)地址多搀， 端口號(hào)等)

?-N? ? ?不顯示主機(jī)名字中的域名部分。

?-O? ? ?禁止運(yùn)行報(bào)文匹配代碼的優(yōu)化器灾部。這個(gè)選項(xiàng)只有當(dāng)你懷疑優(yōu)化器有bug時(shí)才有用康铭。

-p? ? ? ?禁止把接口置成promiscuous(雜湊) 模式。

-q? ? ? ?快速輸出赌髓。

-r? ? ? ?從file中讀入數(shù)據(jù)報(bào)(文件是用-w選項(xiàng)創(chuàng)建的)从藤。

-s? ? ? 從每個(gè)報(bào)文中截取snaplen字節(jié)的數(shù)據(jù)，而不是缺省的68春弥。

-T? ? ? 把通過(guò)"expression" 挑選出來(lái)的報(bào)文解釋成指定的type呛哟。

-S? ? ? 顯示絕對(duì)的，而不是相對(duì)的TCP流序號(hào)匿沛。

-t? ? ? ?禁止顯示時(shí)戳標(biāo)志扫责。

-tt? ? ? 顯示未格式化的時(shí)戳標(biāo)志。

-v? ? ? 繁瑣的輸出逃呼。

-vv? ? 更繁瑣的輸出鳖孤。

-w? ? 把原始報(bào)文存進(jìn)file者娱，不做分析和顯示。

-x? ? ?以16進(jìn)制數(shù)形式顯示每一個(gè)報(bào)文(去掉鏈路層報(bào)頭后)苏揣。

tcpdup表達(dá)式

用來(lái)選擇要轉(zhuǎn)儲(chǔ)的數(shù)據(jù)報(bào)黄鳍。如果沒(méi)有指定expression，就轉(zhuǎn)儲(chǔ)網(wǎng)絡(luò)的全部報(bào)文平匈。否則框沟，只轉(zhuǎn)儲(chǔ)相對(duì)expression為`true'的數(shù)據(jù)報(bào)。expression由一個(gè)或多個(gè)原語(yǔ)組成增炭。原語(yǔ)通常由一個(gè)標(biāo)識(shí)(id忍燥，名稱(chēng)或數(shù)字)，和標(biāo)識(shí)前面的一個(gè)或多個(gè)修飾子組成隙姿。

修飾子有三種不同的類(lèi)型：

? ? type? ? 類(lèi)型修飾子指出標(biāo)識(shí)名稱(chēng)或標(biāo)識(shí)數(shù)字代表什么類(lèi)型的東西梅垄。可以使用的類(lèi)型有host输玷，net和port队丝。如果不指定類(lèi)型修飾子，就使用缺省的 host 欲鹏。

? ? dir? ? ? ?方向修飾子指出相對(duì)于標(biāo)識(shí)的傳輸方向(數(shù)據(jù)是傳入還是傳出標(biāo)識(shí))机久。可以使用的方向有src貌虾，dst吞加，src or dst 和? src? and? dst裙犹。如果不指定 方向修飾子尽狠，就使用缺省的src or dst。對(duì)于`null'鏈路層叶圃，用inbound和outbound修飾子指定所需的傳輸方向袄膏。

? ? proto? ?協(xié)議修飾子要求匹配指定的協(xié)議〔艄冢可以使用的協(xié)議有：ether沉馆， fddi， ip德崭，arp斥黑，rarp，decnet眉厨，lat锌奴，sca，moprc憾股，mopdl鹿蜀，tcp和udp箕慧。如果不指定協(xié)議修飾子, 就使用所有符合類(lèi)型的協(xié)議。

expr relop expr

如果這個(gè)關(guān)系式成立茴恰，則邏輯為真颠焦，其中relop 是 >, <, >=, <=,? =,? !=之一，expr是數(shù)學(xué)表達(dá)式往枣，由 常整數(shù)伐庭，普通的二進(jìn)制運(yùn)算符[+, -, *, /, &, |]，一個(gè)長(zhǎng)度運(yùn)算符分冈，和指定的報(bào)文數(shù)據(jù)訪問(wèn)算符組成似忧。

要訪問(wèn)報(bào)文內(nèi)的數(shù)據(jù)，使用下面的語(yǔ)法：proto [ expr : size ]

Proto是ether,? fddi,? ip,? arp,? rarp,? tcp,? udp, or icmp 之一丈秩，同時(shí)也指出了下標(biāo)操作的協(xié)議層盯捌。expr給出字節(jié)單位的偏移量，該偏移量相對(duì)于指定的協(xié)議層蘑秽。Size是可選項(xiàng)饺著，指出感興趣的字節(jié)數(shù)，它可以是1肠牲，2幼衰，4，缺省為1字節(jié)缀雳。由關(guān)鍵字len給出的長(zhǎng)度運(yùn)算符指明報(bào)文的長(zhǎng)度渡嚣。

原語(yǔ)可以用下述方法結(jié)合使用：

? ? ?取反操作 (`!' or `not')?

? ? ?連結(jié)操作 (`&&' or `and')?

? ? ? 或操作 (`||' or `or')?

取反操作有最高優(yōu)先級(jí)》视。或操作和連結(jié)操作有相同的優(yōu)先級(jí)识椰，運(yùn)算時(shí)從左到右結(jié)合。注意連結(jié)操作需要顯式的and算符深碱，而不是并列放置腹鹉。

示例(EXAMPLES)

tcpdump -i ens33 -vnn host 10.10.10.122? ? ? ? ? ? ?#抓取包含10.10.10.122的數(shù)據(jù)包

tcpdump -i ens33 -vnn src host 10.10.10.122? ? ? ? #抓取源ip是10.10.10.122的數(shù)據(jù)包

tcpdump -i ens33 -vnn src host 10.10.10.122 and not port 22? ? ? ? ? ? #抓取源ip是10.10.10.122且端口不是22的數(shù)據(jù)包

tcpdump -i ens33 -vnn '\(src host 10.10.10.59 and dst port 22\) 'or '\(src host 10.10.10.68 and dst prot 80\)'? ? ? ? #抓取源ip是10.10.10.59且目的端口是22，或者源ip是10.10.10.68且目的端口是80的數(shù)據(jù)包

tcpdump -i ens33 -r /tmp/file host 10.10.10.58? ? ? ? ?#從/tmp/file記錄中讀取包含10.10.10.58的數(shù)據(jù)包?

3敷硅、詳細(xì)敘述僵尸進(jìn)程產(chǎn)生的原因以及危害

僵尸進(jìn)程產(chǎn)生：

Linux 允許進(jìn)程查詢內(nèi)核以獲得其父進(jìn)程的 PID功咒，或者其任何子進(jìn)程的執(zhí)行狀態(tài)。如果子進(jìn)程已經(jīng)終止绞蹦，那么力奋，它的終止代號(hào)將告訴父進(jìn)程這個(gè)任務(wù)是否已成功地完成。如果一個(gè)進(jìn)程已經(jīng)終止幽七，但是它的父進(jìn)程尚未調(diào)用回收子進(jìn)程景殷，這時(shí)的進(jìn)程狀態(tài)稱(chēng)為僵死狀態(tài)，處于僵死狀態(tài)的進(jìn)程稱(chēng)為僵尸進(jìn)程。

僵尸進(jìn)程危害：

在進(jìn)程退出的時(shí)候滨彻，內(nèi)核釋放該進(jìn)程所有的資源藕届，包括打開(kāi)的文件，占用的內(nèi)存等亭饵。但是仍然為其保留一定的信息(包括進(jìn)程號(hào)休偶，退出狀態(tài)，運(yùn)行時(shí)間等)辜羊。直到父進(jìn)程通過(guò)調(diào)用回收子進(jìn)程時(shí)才釋放踏兜。如果進(jìn)程不調(diào)用回收子進(jìn)程的話，那么保留的那段信息就不會(huì)釋放八秃，其進(jìn)程號(hào)就會(huì)一直被占用碱妆，但是系統(tǒng)所能使用的進(jìn)程號(hào)是有限的，如果大量的產(chǎn)生僵死進(jìn)程昔驱，將因?yàn)闆](méi)有可用的進(jìn)程號(hào)而導(dǎo)致系統(tǒng)不能產(chǎn)生新的進(jìn)程疹尾。

4、詳細(xì)說(shuō)明vmstat輸出結(jié)果的含義

?[root@localhost admin]# vmstat

procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu-----

r? b? swpd? free? buff? cache? si? so? ? bi? ? bo? in? cs us sy id wa st

1? 0? ? ? 0 731392? 2084 520596? ? 0? ? 0? 3879? 186? 887 1836 13 24 62? 1? 0

Procs

? ? ? r：等待運(yùn)行的進(jìn)程數(shù)

? ? ? b：處在非中斷睡眠狀態(tài)的進(jìn)程數(shù)

? ? ? w：被交換出去的可運(yùn)行的進(jìn)程數(shù)骤肛。

? ? ? 此數(shù)由linux計(jì)算得出纳本，但linux并不耗盡交換空間

Memory

? ? ? swpd：虛擬內(nèi)存使用情況，單位：KB

? ? ? free：空閑的內(nèi)存腋颠，單位KB

? ? ? buff：被用來(lái)做為緩存的內(nèi)存數(shù)繁成，作為塊設(shè)備的緩存，單位：KB

? ? ? cache：被用來(lái)做為緩存的內(nèi)存數(shù)淑玫，作為文件系統(tǒng)的緩存巾腕，單位：KB

Swap

? ? ? si：從磁盤(pán)交換到內(nèi)存的交換頁(yè)數(shù)量，單位：KB/秒

? ? ? so：從內(nèi)存交換到磁盤(pán)的交換頁(yè)數(shù)量絮蒿，單位：KB/秒

IO

? ? ? bi：發(fā)送到塊設(shè)備的塊數(shù)尊搬，單位：塊/秒

? ? ? bo：從塊設(shè)備接收到的塊數(shù)，單位：塊/秒

System

? ? ? in：每秒的中斷數(shù)歌径，包括時(shí)鐘中斷

? ? ? cs：每秒的環(huán)境（上下文）切換次數(shù)

CPU

? ? ? 按CPU的總使用百分比來(lái)顯示

? ? ? us：CPU使用時(shí)間

? ? ? sy：CPU系統(tǒng)使用時(shí)間

? ? ? id：閑置時(shí)間

? ? ? wa：等待IO時(shí)間?