Linux学习(十五)(故障排除(ICMP,Ping,Traceroute,网络统计,数据包分析))

故障排除是任何 Linux 用户或管理员的基本技能。这涉及识别和解决 Linux 系统中的问题。这些问题的范围包括常见的系统错误、硬件或软件问题、网络连接问题以及系统资源的管理。Linux 中的故障排除过程通常涉及使用命令行工具、检查系统和应用程序日志文件、了解系统进程，有时还涉及深入研究 Linux 内核。

有效故障排除的关键是了解 Linux 的工作原理并熟悉常见的命令行工具。此外，能够解释错误消息、使用 Linux 的内置调试工具以及了解常见问题症状可以加快解决时间。

# example of using a command-line tool for troubleshooting
top

该命令是一种常用的故障排除工具，可提供系统上运行的进程的动态实时视图。它对于识别可能导致性能问题的资源密集型进程特别有用。top

🕵️♂️ Linux故障排除就像侦探破案

核心思路： 像侦探一样收集线索（日志）、分析证据（系统状态）、锁定嫌犯（问题根源）

🚨 案件调查步骤

1️⃣ 现场勘查（查看系统状态）

top                  # 查看实时"人流监控"（进程资源占用）
htop                 # 升级版监控（更直观，支持鼠标操作）

• 关键线索：CPU占用90%的"可疑分子"（异常进程）

• 行动：按P按CPU排序，按k终止可疑进程

2️⃣ 调取监控（查看日志）

journalctl -xe       # 查看系统"监控录像"（最新日志）
tail -f /var/log/syslog  # 实时追踪"案发现场"

• 常见案发现场：

  • /var/log/auth.log → 登录安全记录

  • /var/log/nginx/error.log → Web服务错误

3️⃣ 排查物证（检查硬件）

dmesg | grep -i error  # 检查"物证报告"（硬件错误）
smartctl -a /dev/sda  # 检测硬盘"健康状态"

📌 作用：查看系统日志，找出可能的硬件错误

解析

• dmesg 👉 显示系统日志，包含开机信息、硬件检测、驱动加载等内容。
• | 👉 管道操作符，把 dmesg 的输出传给 grep 处理。
• grep -i error 👉 搜索日志中**包含“error”（错误）**的行，-i 让匹配不区分大小写。

示例

dmesg | grep -i error

如果系统有错误，可能会输出：

[  145.123456] ata1.00: failed command: READ FPDMA QUEUED
[  145.123789] blk_update_request: I/O error, dev sda, sector 123456
[  200.987654] EXT4-fs error (device sda1): ext4_find_entry:xxxx: reading directory #xxxxxxx offset xxxx

解释：

• I/O error, dev sda 👉 硬盘读写错误。
• EXT4-fs error 👉 磁盘文件系统出错，可能有坏道。

✅ 结论：如果发现错误日志，说明硬件（尤其是硬盘）可能有问题，建议进一步检测。

📌 作用：查询硬盘的 S.M.A.R.T.（自我监测分析报告）信息，判断硬盘是否健康

解析

• smartctl 👉 一个检测硬盘健康状态的工具，属于 smartmontools 软件包。
• -a 👉 显示所有 S.M.A.R.T. 信息（包括温度、坏道、寿命等）。
• /dev/sda 👉 指定要检测的硬盘（sda 是系统的第一块硬盘）。

示例

smartctl -a /dev/sda

可能输出：

ID# ATTRIBUTE_NAME          VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE5  Reallocated_Sector_Ct   10    10    36    Pre-fail  Always   FAILING_NOW  1009  Power_On_Hours         30000  100   0     Old_age   Always   -           30000
194  Temperature_Celsius    35     50    0     Old_age   Always   -           35

解释：

• Reallocated_Sector_Ct（重映射扇区数）👉 数值大于 0 说明硬盘有坏道，100 说明已经有 100 个坏块。
• Power_On_Hours（开机时间）👉 硬盘运行时间，30000 小时（≈3.4 年）。
• Temperature_Celsius（温度）👉 硬盘温度，35℃（正常）。

✅ 结论：

• 如果 Reallocated_Sector_Ct 有值，说明硬盘有坏道，建议更换硬盘！
• 如果 Power_On_Hours 太高（>40,000 小时），说明硬盘已经很老，容易出问题。
• 如果温度高于 50℃，可能需要改善散热。

解释：

• Reallocated_Sector_Ct（重映射扇区数）👉 数值大于 0 说明硬盘有坏道，100 说明已经有 100 个坏块。
• Power_On_Hours（开机时间）👉 硬盘运行时间，30000 小时（≈3.4 年）。
• Temperature_Celsius（温度）👉 硬盘温度，35℃（正常）。

✅ 结论：

• 如果 Reallocated_Sector_Ct 有值，说明硬盘有坏道，建议更换硬盘！
• 如果 Power_On_Hours 太高（>40,000 小时），说明硬盘已经很老，容易出问题。
• 如果温度高于 50℃，可能需要改善散热。

总结

💡 如果 dmesg 发现 I/O 错误，或者 smartctl 发现坏道，说明硬盘可能要坏了，需要尽快备份数据！ 🚨

🔧 侦探工具箱（常用命令）

🌰 经典案件侦破

案件：网站突然无法访问

1. 初步勘查：

   systemctl status nginx  # 发现服务异常停止

2. 调取监控：

   journalctl -u nginx --since "10 minutes ago"  # 发现端口冲突

3. 锁定嫌犯：

   ss -tulnp | grep :80  # 发现Apache占用了80端口

4. 解决问题：

   sudo systemctl stop httpd  # 停用Apache
   sudo systemctl start nginx # 启动Nginx

⚠️ 侦探守则（注意事项）

1. 保护现场：遇到问题先别重启，保留现场证据

2. 逐项排查：从简单到复杂（先检查网络→服务→配置）

3. 善用手册：man 命令 或 命令 --help 获取线索

4. 隔离测试：最小化重现环境，避免干扰

💡 破案技巧

• 时间回溯：

  sudo grep "ERROR" /var/log/* -r --since "2023-10-01"

• 压力测试：

  stress --cpu 8 --timeout 60s  # 模拟高负载测试

• 快照还原：

  timeshift --restore  # 使用系统快照回到案发前

总结： 记住这个破案口诀：

一查状态二看报错，  
三验网络四测硬件，  
日志监控是金钥匙，  
隔离验证保平安。

掌握这些技能，你就能成为Linux世界的"福尔摩斯"！ 🎩🔍

ICMP

Internet 控制消息协议 （ICMP） 是一种支持协议，主要由网络设备用于将更新或错误信息传达给其他设备。在 Linux 环境中排查网络问题时，ICMP 是一个关键方面。它可用于发送错误消息，例如，指示请求的服务不可用或无法访问主机或路由器。ICMP 还可用于中继查询消息。

在 Linux 系统中，与 ICMP 相关的常见命令行工具包括 和 ，两者都用于诊断网络状态，通常是故障排除工作的一部分。pingtraceroute

# Use of ICMP via the ping command to send an echo request to a specific host
ping www.google.com

这个简单而有效的工具在任何 Linux 网络故障排除库中都不应错过。

好的，我用「快递员送包裹」的比喻来解释 ICMP 协议和相关工具，让你像查快递一样排查网络问题：

​ICMP 协议 = 快递员之间的沟通纸条

想象你要寄快递（发送数据包），但中途可能出问题：

• 🚚 ​正常流程：快递员（数据包）顺利到达目的地
• ❌ ​异常情况：地址写错、路断了、对方拒收
  这时快递员会用 ICMP 协议写「纸条」通知你问题在哪！

​ICMP 的两种核心功能

1. ​报错通知​（类似快递退回单）
   • 例子：Destination Unreachable（地址不存在）
   • 场景：访问的网站 IP 写错了，路由器返回这个错误
2. ​网络探测​（类似物流跟踪）
   • 例子：Echo Request/Reply（回声检测）
   • 场景：用 ping 测试是否能到达目标服务器

​Linux 中的 ICMP 工具：快递追踪器

​1️⃣ ping：检查包裹是否能送达

ping www.google.com  # 向谷歌服务器发送探测包

输出示例👇

64 bytes from 172.217.160.68: icmp_seq=1 ttl=54 time=25.3 ms
64 bytes from 172.217.160.68: icmp_seq=2 ttl=54 time=26.1 ms

结果解读：

• time=25.3 ms → 网络延迟（越低越好）
• ttl=54 → 数据包经过的路由器跳数（初始值通常64或128）
• 如果显示 请求超时，说明网络不通或对方屏蔽了 ICMP

适用场景：

• 快速测试网站/IP 是否能访问
• 检查本地网络是否正常（先 ping 路由器IP）

​2️⃣ traceroute：跟踪包裹的运输路线

traceroute www.baidu.com  # 显示数据包经过的所有路由器

输出示例👇

 1  192.168.1.1 (192.168.1.1)  2.123 ms  1.987 ms  1.845 ms  2  10.10.10.1 (10.10.10.1)  10.234 ms  10.123 ms  9.876 ms  3  202.96.128.86 (电信骨干网)  25.678 ms  26.123 ms  25.987 ms  ...  

原理：

• 故意发送 TTL（存活时间）递增的数据包
• 每经过一个路由器，TTL 减1，当 TTL=0 时路由器返回 ICMP 超时消息
• 通过这种方式「逼」路由器们暴露自己的 IP

适用场景：

• 定位网络卡在哪一跳（比如第3跳延迟暴增）
• 排查跨国网站访问慢的问题

​ICMP 的常见错误类型

​实际故障排查案例

​问题：电脑能上微信但打不开网页

排查步骤：

1. ping 114.114.114.114 → 测试是否能连国内 DNS
   • 如果通 → 说明网络连接正常
   • 不通 → 检查本地网络或网线
2. ping www.baidu.com → 测试域名解析
   • 如果通 → 浏览器问题或 HTTPS 证书错误
   • 不通 → DNS 设置错误（修改 /etc/resolv.conf）

​ICMP 的局限性

• ​可能被防火墙屏蔽：很多服务器关闭 ICMP 响应（防攻击）
• ​不代表端口可用：即使能 ping 通，不代表 80（HTTP）端口开放
  • 端口检测需用 telnet 目标IP 80 或 nc -zv 目标IP 80

​其他相关工具

• ​**mtr**：ping + traceroute 合体版，实时监控每跳的丢包率

  mtr www.github.com  # 动态显示网络路径质量

• ​**nmap**：检测目标是否屏蔽 ICMP

  nmap -sn 192.168.1.1  # 用多种方式探测主机是否在线

总结：
ICMP 就像网络世界的「信使系统」，ping 是打电话问对方「在吗？」，traceroute 是查通话经过哪些中转站。掌握这些工具，你就能像侦探一样顺藤摸瓜找到网络问题的源头！

ping

Ping是在 Linux作系统上进行网络故障排除时的关键工具。该命令允许您检查主机与目标计算机（可以是另一台计算机、服务器或网络上的任何设备）之间的连接状态。此诊断工具将 ICMP（互联网控制消息协议）ECHO_REQUEST数据包发送到目标主机并侦听ECHO_RESPONSE返回，从而深入了解连接的运行状况和速度。ping

ping <target IP or hostname>

如果到达目标主机时遇到任何问题，可以识别此问题并提供反馈，使其成为排查网络问题的重要组件。在许多情况下，它是 Linux 用户在诊断网络连接问题时首先使用的工具。ping

好的，用「打电话」和「回声探测」的比喻来解释 ping，保证你听完就能掌握精髓：

​**ping = 网络世界的「电话测试仪」​**

想象你想确认朋友手机是否开机，你会：
1️⃣ ​打电话 → 如果朋友接了，说明线路正常
2️⃣ ​听嘟嘟声 → 如果响铃后无人接听，可能对方关机
3️⃣ ​数响铃时间 → 判断距离远近（延迟高低）

ping 就是用 ICMP 协议做类似的事情，只不过探测对象是网络设备！

​基础用法：打一通网络电话

ping www.baidu.com  # 给百度服务器打电话

输出示例👇

PING www.a.shifen.com (14.119.104.189) 56(84) bytes of data.
64 bytes from 14.119.104.189: icmp_seq=1 ttl=54 time=28.3 ms
64 bytes from 14.119.104.189: icmp_seq=2 ttl=54 time=27.9 ms
^C  # 按 Ctrl+C 停止
--- 统计报告 ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 27.934/28.114/28.295/0.180 ms

关键信息解读：

• ​**time=28.3 ms** → 延迟（越低网速越快，游戏玩家最关注这个）
• ​**ttl=54** → 初始值通常 64（Linux）或 128（Windows），每经过一个路由器减1
  • 如果看到 ttl=112，说明经过了 128-112=16 个路由器
• ​**0% packet loss** → 丢包率（>5% 可能影响视频通话）

​常见场景与操作技巧

​场景1：快速测试网络通不通

ping -c 4 114.114.114.114  # 只打4次电话就挂断

输出：

--- 114.114.114.114 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss  # 全通说明网络正常

​场景2：检测网络稳定性（持续监控）​

ping -i 0.5 www.qq.com  # 每0.5秒打一次电话

用途：

• 玩游戏时检测网络是否波动
• 按 Ctrl + \ 强制退出无限循环

​场景3：排查「能上微信但打不开网页」​

ping 114.114.114.114     # 测试DNS服务器是否可达
ping www.baidu.com       # 测试域名解析是否正常

结论：

• 第一个通，第二个不通 → 可能是 DNS 问题（修改 /etc/resolv.conf）
• 两个都不通 → 检查路由器或光猫

​常见错误与应对措施

​错误1：未知的主机（DNS解析失败）​

ping: www.xxx.com: 未知的名称或服务

解决方案：

1. 换用 IP 测试：ping 8.8.8.8（Google DNS）
2. 检查 DNS 设置：cat /etc/resolv.conf

​错误2：请求超时（网络不通或屏蔽）​

From 192.168.1.1 icmp_seq=1 Destination Host Unreachable

排查步骤：

1. ping 路由器IP（如 192.168.1.1） → 确认内网是否正常
2. ping 8.8.8.8 → 确认外网是否连通
3. 目标服务器可能禁用了 ICMP（比如某些云主机）

​错误3：高延迟/高丢包

time=350 ms  # 延迟高于 200ms 就影响视频会议
50% packet loss  # 丢包严重会导致卡顿

应对：

• 用 mtr 目标IP 检查哪一跳路由器有问题
• 联系网络运营商报修

​高级技巧（参数大全）​

​总结：ping 的三大核心作用

1. ​网络连通性测试 → 确认设备是否在线
2. ​延迟与稳定性监测 → 评估网络质量
3. ​初步故障定位 → 区分是内网问题还是外网问题

排查网络问题的黄金口诀：

一 ping 网关，二 ping DNS，三 ping 公网IP  
全都不通查网线，部分不通找路由！

路由跟踪

Traceroute 是一种网络诊断工具，在 Linux 系统中广泛用于故障排除。它旨在显示数据包从运行 traceroute 的系统到指定目标系统或网站的路径。它用于识别路由问题、提供延迟测量，并在数据包通过 Internet 时弄清楚网络结构。

沿路由的每次跳转都会测试多次（默认值为 3，但可以更改），并显示每个数据包的往返时间。如果某些数据包无法到达目的地，traceroute 可以帮助诊断故障发生的位置。

在 Linux 中跟踪路由可以通过执行命令来实现，该命令允许您发现 Internet 协议数据包在到达目的地时遵循的路由。traceroute

$ traceroute www.example.com

我来用快递送货的例子帮你理解 traceroute 的工作原理：

假设你从北京寄快递到上海的朋友家，但快递中途要经过多个中转站：

1. 你寄出快递时在包裹上标记"有效期=1天"

2. 第一个中转站（天津）收到后发现有效期只剩0天，就会：

   • 销毁包裹

   • 给你发回一条短信："包裹在天津超时了"

3. 你记录下天津站的响应时间（比如0.5ms）

4. 接着你重新寄出包裹，标记"有效期=2天"

5. 这次包裹能到达第二个中转站（济南），同样会收到超时通知

6. 重复这个过程直到包裹到达上海朋友家

📊 执行 traceroute www.example.com 的输出示例：

复制

1  192.168.1.1 (路由器)  1.234 ms  1.456 ms  1.567 ms
2  61.128.192.1 (广州电信)  5.678 ms  5.712 ms  5.801 ms
3  202.97.12.34 (骨干网节点)  12.345 ms  12.401 ms  12.512 ms
...
10  203.0.113.5 (目标服务器)  38.901 ms  39.012 ms  39.123 ms

🔑 关键点解析：

• 每行代表一个网络节点（路由器/服务器）

• 三个时间值对应三次探测的往返延迟

• 星号(*) 表示该次探测未得到响应

• 延迟突增的位置往往暗示网络瓶颈

💡 实用技巧：

1. 用 -I 参数使用ICMP协议（类似ping）
   traceroute -I baidu.com

2. 遇到星号时尝试增加探测次数：
   traceroute -q 5 github.com

3. 限制最大跳数（适合内网排查）：
   traceroute -m 10 192.168.0.100

⚠️ 注意：某些网络设备会屏蔽traceroute探测，这时候会出现连续星号，并不一定代表网络故障。

Netstat

Netstat 是 network statistics 的缩写，是 Linux 系统中用于网络故障排除和性能测量的内置命令行工具。它提供协议的统计信息、开放端口列表、路由表信息和其他重要的网络详细信息。管理员和开发人员使用 netstat 来检查网络问题并了解系统如何与其他系统通信。

由于它支持各种命令行选项，它的功能得到了扩展，这些选项可以单独或组合使用来微调输出。这些可能包括显示数字地址而不是名称 （）、持续监视 （） 或发现特定协议上的连接 （， ）。-n -c -t -u

以下是 netstat 通常如何使用的简短片段：

# List all connections with numerical values.
netstat -n

好的，用「电话总机控制台」来比喻 netstat，让你像查电话线路一样掌握网络连接状态：

​**netstat = 网络连接的电话交换机面板**

想象你管理一个公司的电话系统，需要知道：

1. ​哪些分机正在通话 → 查看活动连接
2. ​哪些分机等待来电 → 查看监听端口
3. ​电话线路路由表 → 查看网络路由配置

netstat 就是这样一个实时显示所有「电话线路」（网络连接）状态的控制面板！

​常用场景速查手册

​场景1：查看所有正在通话的线路（活动连接）​

netstat -natp  # 组合参数大法

参数解释：

• -n：显示数字地址（不解析域名）
• -a：显示所有连接（包括监听中的）
• -t：TCP协议
• -p：显示进程PID/名称

输出示例👇

Proto Recv-Q Send-Q Local Address    Foreign Address     State       PID/Program name  
tcp        0      0 192.168.1.100:22 110.242.68.3:56789   ESTABLISHED 1234/sshd: user  
tcp6       0      0 :::80            :::*                LISTEN      5678/nginx

关键列解读：

• Local Address：本机IP和端口
• Foreign Address：对方IP和端口
• State：连接状态（ESTABLISHED=通话中，LISTEN=待机中）
• PID/Program：哪个程序在使用这个连接

​场景2：查谁在偷听电话（监听中的端口）​

netstat -tulnp  # 组合拳出击

参数解释：

• -t：TCP协议
• -u：UDP协议
• -l：仅显示监听中的端口
• -p：显示进程信息

输出示例👇

Proto Recv-Q Send-Q Local Address   Foreign Address    State    PID/Program  
tcp        0      0 0.0.0.0:22      0.0.0.0:*          LISTEN   1234/sshd  
tcp6       0      0 :::80           :::*               LISTEN   5678/nginx  
udp        0      0 0.0.0.0:68      0.0.0.0:*                  7890/dhclient

典型应用：

• 确认Web服务器是否在监听80端口
• 检查是否有可疑后门程序在监听端口

​场景3：查电话线路统计（网络流量统计）​

netstat -s  # 查看协议统计信息

输出重点：

Tcp:3245 active connections openings  12 failed connection attempts  892 segments retransmitted  Ip:25675 total packets received  0 invalid addresses  

用途：

• 诊断TCP重传率过高（网络质量差）
• 检查UDP丢包情况

​实用排查案例

​问题1：端口被占用导致服务启动失败

步骤：

# 1. 查哪个进程占用了80端口
netstat -tulnp | grep :80# 2. 根据PID结束进程
kill -9 5678

​问题2：怀疑服务器被植入后门

步骤：

netstat -natp | grep ESTAB  
# 重点检查Foreign Address是否有陌生IP连接

​参数对照表（新手必存）​

​升级替代工具：ss 命令

特点：更快更现代（逐渐替代 netstat）
常用命令：

ss -tunlp  # 参数含义与netstat类似

​总结口诀

查连接用 netstat，参数组合别搞差  
-n 显示纯数字，-a 所有连接查  
-t TCP u是UDP，-l 监听要记牢  
-p 显示进程号，-s 统计顶呱呱  
遇到问题别慌张，先查端口后杀它！

sudo tcpdump -i eth0

ip link show  # 查看所有网络接口的名称和状态

1: lo: <LOOPBACK,UP> ...   # 回环接口（虚拟）
2: eth0: <BROADCAST,UP> ... # 第一个以太网接口（物理网卡）
3: wlan0: <BROADCAST,UP> ... # 无线网卡

ls /sys/class/net  # 列出所有网络接口名称

sudo tcpdump -i eth0 host 192.168.1.100

tshark -r capture.pcap  # 命令行版分析工具

15:03:22.123456 IP 192.168.1.5.54321 > 203.0.113.10.80: Flags [P.], seq 1:100, ack 1, win 256, length 99

tcpdump -nn 'dst port 80' | awk '{print $3}' | sort | uniq -c | sort -nr

一抓二提三排序，四统五排结果齐。
-nn 抓包禁解析，awk 提列看第三。
sort 整理做铺垫，uniq -c 数出现。
sort -nr 倒排序，流量统计最清晰。

3258 61.177.172.10
1245 183.251.61.102
987 122.114.27.214