基础网络知识

ip地址：IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。分为公有IP地址和私有IP地址，是一个32位的二进制数，通常用点分十进制表示。
公有IP地址：公网IP在全世界只有一个，通过它直接访问因特网
私网IP地址：专门为组织机构内部使用，留用的内部私有地址如下

A类：10.0.0.0--10.255.255.255
B类：172.16.0.0--172.31.255.255
C类：192.168.0.0--192.168.255.255

划分子网：IP地址::={<网络号>,<子网号>,<主机号>}，网络号确定两台主机是否在同一网段，主机号负责该网段连接主机数量。
子网掩码：声明网络地址和主机地址，划分子网。
子网：一般是由路由器和多台主机构成，子网内的主机可以直接通信。
eg：IP：192.168.31.4，子网掩码：255.255.255.0
IP和子网掩码化为二进制，并进行与运算，结果就是子网

 11000000  10101000  00011111  00000100     IP地址
 11111111  11111111  11111111  00000000     子网掩码 
 11000000  10101000  00011111  00000000     子网      
CIDR记法：192.168.31.0/24，,该子网最小地址为192.168.31.0，最大地址为192.168.31.255，主机数量2^8=256

特殊网络号

0.0.0.0：可以理解为代表所有IP
255.255.255.255：限制广播地址
127.0.0.1：代表本机，同localhost

常用端口

    21 = ftp     file transfer protocol                   文件传输协议
    22 = ssh     SSH Remote Login Protocol                SSH远程登录协议
    23 = telnet  telnet                                   终端仿真协议 
    25 = smtp    simple mail transfer  protocol           简单邮件传输协议 
    53 = dns     domain name service                      域名服务
    69 = tftp    trivial file transfer  protocol          通俗文件传输协议 
    80 = http    hyper text transfer protocol             超文本传输协议 
    161=SNMP     simple network management protocol       简单网络管理协议
    443=https    hyper text transfer protocol secure      带安全措施的HTTP   

linux常用网络分析命令

    ping：
        用途：测试网络连接，通过发送ICMP回显请求数据包来检测主机是否可达。
        用法：ping [目标IP或域名]

    traceroute/tracert（在Linux中通常使用traceroute）：
        用途：跟踪数据包从源主机到目标主机之间的路径。
        用法：traceroute [目标IP或域名]

    ifconfig 或 ip addr（在某些Linux发行版中，ifconfig已被ip命令取代）：
        用途：显示和配置网络接口的信息，包括IP地址、MAC地址等。
        用法：ifconfig 或 ip addr

    netstat：
        tasklist查看进程
        用途：显示网络连接、路由表、接口统计等网络相关信息。
        用法：netstat -a（显示所有连接和监听端口），netstat -r（显示路由表）等。

    ss：
        用途：显示socket统计信息，用于替代netstat。
        用法：ss -a（显示所有socket连接），ss -tln（显示TCP监听端口）等。

    arp：
        用途：显示和修改ARP缓存表，解决网络地址翻译问题。
        用法：arp -a（显示ARP缓存表），sudo arp -s <IP地址> <MAC地址>（添加ARP缓存项）等。

    host 或 nslookup：
        用途：用于查询DNS以解析域名和IP地址。
        用法：host [域名] 或 nslookup [域名]

    tcpdump：
        用途：捕获和显示网络数据包，用于网络故障排查和流量分析。
        用法：tcpdump -i eth0（捕获eth0接口上的所有数据包），tcpdump -i eth0 port 80（捕获eth0接口上端口80的HTTP流量）等。
        -i：指定网络接口。例如，-i eth0 表示在 eth0 接口上捕获数据包。
        -c：指定捕获的数据包数量。例如，-c 100 表示只捕获前 100 个数据包。
        -n：不解析主机名和服务名，直接显示 IP 地址。例如，-n 可以防止 DNS 解析，使输出更简洁。
        -nn 或 -nnn：禁用 tcpdump 展示时把 IP、端口等转换为域名、端口对应的知名服务名称。例如，-nnn 可以使输出更加清晰。
        -v、-vv、-vvv：分别表示详细输出模式、非常详细输出模式、极详细输出模式，显示更多的数据包信息。
        -w：将捕获的数据包写入文件，而不是在终端上显示。例如，-w output.pcap 将捕获的数据包写入名为 "output.pcap" 的文件中。
        -r：从文件读取数据包并显示。这通常用于分析之前捕获的数据包文件。
        -s：设置捕获的数据包大小。如果你只想捕获完整的数据包，可以使用 -s 0 参数。这实际上意味着不限制捕获数据包的大小，从而确保捕获完整的数据包。
        host 192.168.130.1表示一台主机，net 192.168.130.0表示一个网络网段，port 80 指明端口号为80，src、dst、dst or src、dst and src，这些关键字指明了传输的方向
        eg：tcpdump  ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host  ! www.qq.com

    nload 或 iftop：
        用途：实时显示网络接口的流量和网络活动统计信息。
        用法：nload（启动nload界面），iftop（启动iftop界面）