ip ss指令替代 ifconfig route arp netstat - CentOS 7系统配置上的变化解析_Linux教程_Linux公社-Linux系统门户网站
你好，游客
CentOS 7系统配置上的变化解析
ip ss指令替代 ifconfig route arp netstat
来源：Linux社区&
作者：panblack
前面简单介绍了 7 在服务和网络方面的一点变化，先前很多烂熟于心的操作指令已经不适用了，不管是否习惯，总要接受、熟悉这些变化。
写上篇的时候还没有最小安装的ISO（CentOS-7.0--Minimal.iso），后来安装了首先发现ifconfig、netstat、route、arp都没有了，在哪儿呢？
[root@centos7 ~]# yum search ifconfig......======================== Matched: ifconfig =========================net-tools.x86_64 : Basic networking tools[root@centos7 ~]#
&哦，最小安装默认没有包含这些老工具，如果非用不可，就 yum install net-tools 吧，但我就是要看看不用它们我们怎么来管理网络。我们将要用到的是ip指令，ss指令和NetworkManager的两个工具 nmtui，nmcli。老实说，这几个工具更加强大了，但还真不太容易习惯呢。
一、ip ss指令替代 ifconfig route arp netstat
1、ip 指令入门ip [ OPTIONS ] OBJECT { COMMAND | help }& OBJECT 和 COMMAND可以简写到一个字母ip help& &
　　　　　可以查到OBJECT列表和OPTIONS，简写 ip hip &OBJECT& help　　　查看针对该OBJECT的帮助，比如 ip addr help，简写 ip a hip addr& &
　　　　　查看网络接口地址，简写 ip a
查看网络接口地址，替代ifconfig：&
[root@centos7 ~]# ip addr1: lo: &LOOPBACK,UP,LOWER_UP& mtu 65536 qdisc noqueue state UNKNOWN& & link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00& & inet 127.0.0.1/8 scope host lo& & &
valid_lft forever preferred_lft forever& & inet6 ::1/128 scope host& & &
valid_lft forever preferred_lft forever2: enp0s3: &BROADCAST,MULTICAST,UP,LOWER_UP& mtu 1500 qdisc pfifo_fast state UP qlen 1000& & link/ether 08:00:27:15:35:d2 brd ff:ff:ff:ff:ff:ff& & inet 192.168.150.110/24 brd 192.168.150.255 scope global enp0s3& & &
valid_lft forever preferred_lft forever& & inet6 fe80::a00:27ff:fe15:35d2/64 scope link& & &
valid_lft forever preferred_lft forever[root@centos7 ~]#
网络接口统计信息
[root@centos7 ~]# ip -s link1: lo: &LOOPBACK,UP,LOWER_UP& mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT& & link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00& & RX: bytes& packets& errors& dropped overrun mcast&
& & 0& & & & & 0& & & & 0& & &
0& & & & & TX: bytes& packets& errors& dropped carrier collsns& & 0& & & & & 0& & & & 0& & &
0& & & 2: enp0s3: &BROADCAST,MULTICAST,UP,LOWER_UP& mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000& & link/ether 08:00:27:15:35:d2 brd ff:ff:ff:ff:ff:ff& & RX: bytes& packets& errors& dropped overrun mcast&
& & 8135366& & 131454&
456& & & & TX: bytes& packets& errors& dropped carrier collsns& & 646297& &
2、ip route显示和设定路由
显示路由表
[root@centos7 ~]# ip routedefault via 192.168.150.254 dev enp0s3& proto static& metric 1024192.168.150.0/24 dev enp0s3& proto kernel& scope link& src 192.168.150.110
太难看了，格式化一下（显示的是默认网关和局域网路由，两行的内容没有共通性）：
[root@centos7 tmp]# ip route|column -tdefault& & & & &
via& 192.168.150.254& dev& & enp0s3& proto& static& metric& 1024192.168.150.0/24& dev& enp0s3& & & & &
proto& kernel& scope& link& & src& &
192.168.150.110
添加静态路由
[root@centos7 ~]# ip route add 10.15.150.0/24 via 192.168.150.253 dev enp0s3[root@centos7 ~]#[root@centos7 ~]# ip route|column -tdefault& & & & &
via& 192.168.150.254& dev& & enp0s3& proto& static& metric& 102410.15.150.0/24& & via& 192.168.150.253& dev& & enp0s3& proto& static& metric& 1192.168.150.0/24& dev& enp0s3& & & & &
proto& kernel& scope& link& & src& &
192.168.150.110[root@centos7 ~]#[root@centos7 ~]# ping 10.15.150.1PING 10.15.150.1 (10.15.150.1) 56(84) bytes of data.64 bytes from 10.15.150.1: icmp_seq=1 ttl=63 time=1.77 ms64 bytes from 10.15.150.1: icmp_seq=1 ttl=63 time=1.08 ms64 bytes from 10.15.150.1: icmp_seq=1 ttl=63 time=1.57 ms^C
删除静态路由只需要把 add 替换成 del，或者更简单的只写目标网络
[root@centos7 ~]# ip route del 10.15.150.0/24[root@centos7 ~]#
但是，ip route 指令对路由的修改不能保存，重启就没了。设置永久的静态路由的方法RHEL官网文档讲了几种，试验成功的只有一种：
[root@centos7 ~]#echo "10.15.150.0/24 via 192.168.150.253 dev enp0s3" & /etc/sysconfig/network-scripts/route-enp0s3
重启计算机，或者禁用再启用设备enp0s3才能生效，注意：/etc/sysconfig/static-routes,/etc/sysconfig/network 配置文件都不好用。
3、用 ip neighbor 代替 arp -n
[root@centos7 ~]# ip nei192.168.150.254 dev enp0s3 lladdr b8:a3:86:37:bd:f8 STALE192.168.150.100 dev enp0s3 lladdr 90:b1:1c:94:a1:20 DELAY192.168.150.253 dev enp0s3 lladdr 00:09:0f:85:86:b9 STALE
4、用ss 代替 netstat对应netstat -ant
[root@centos7 ~]# ss -antState& & &
Recv-Q Send-Q&
Local Address:Port& &
Peer Address:PortLISTEN& & & 0& & & 100& & & & & 127.0.0.1:25& & & & & & & & & *:*& &
LISTEN& & & 0& & & 128& & & & & & & & & *:22& & & & & & & & & *:*& &
ESTAB& & &
0& & & 0& & & 192.168.150.110:22& & 192.168.150.100:53233LISTEN& & & 0& & & 100& & & & & & & & ::1:25& & & & & & & &
LISTEN& & & 0& & & 128& & & & & & & &
:::22& & & & & & & &
对应netstat -antp
[root@centos7 tmp]# ss -antpState& & & Recv-Q Send-Q& & & & Local Address:Port& & & & & Peer Address:PortLISTEN& &
0& & & 100& & & & & & &
127.0.0.1:25& & & & & & & & & & &
*:*& & & users:(("master",1817,13))LISTEN& &
0& & & 128& & & & & & & & & & &
*:22& & & & & & & & & & &
*:*& & & users:(("sshd",1288,3))ESTAB& & & 0& & & 0& & & & &
192.168.150.110:22& & & &
192.168.150.100:59413& users:(("sshd",2299,3))LISTEN& &
0& & & 100& & & & & & & & & &
::1:25& & & & & & & & & & & :::*& & & users:(("master",1817,14))LISTEN& &
0& & & 128& & & & & & & & & & & :::22& & & & & & & & & & & :::*& & & users:(("sshd",1288,4))[root@centos7 tmp]#
看着真的很别扭，不管多宽的终端屏，users:部分都会折到下一行，其实是在一行的。
格式化一下，内容整齐了，但是标题行串了：
[root@centos7 tmp]# ss -antp|column -tState&
Recv-Q& Send-Q& Local& & & & & & &
Address:Port& & & & &
Peer& & & & & & & & & & & & Address:PortLISTEN& 0& & &
127.0.0.1:25& & & & *:*& & & & & & & & & & users:(("master",1817,13))LISTEN& 0& & &
*:22& & & & & & & & *:*& & & & & & & & & & users:(("sshd",1288,3))ESTAB&
192.168.150.110:22& 192.168.150.100:59413& users:(("sshd",2299,3))LISTEN& 0& & &
::1:25& & & & & & & :::*& & & & & & & & &
users:(("master",1817,14))LISTEN& 0& & &
:::22& & & & & & &
:::*& & & & & & & & &
users:(("sshd",1288,4))
5、旧的network脚本和ifcfg文件Centos7 开始，网络由 NetworkManager 服务负责管理，相对于旧的 /etc/init.d/network 脚本，NetworkManager是动态的、事件驱动的网络管理服务。旧的 /etc/init.d/network 以及 ifup，ifdown 等依然存在，但是处于备用状态，即：NetworkManager运行时，多数情况下这些脚本会调用NetworkManager去完成网络配置任务；NetworkManager么有运行时，这些脚本就按照老传统管理网络。
[root@centos7 ~]# /etc/init.d/network startStarting network (via systemctl):& & & & & & & & & & & & & [& OK& ]
注意(via systemctl)。
6、网络配置文件:/etc/sysconfig/network&
说是全局设置，默认里面啥也没有/etc/hostname& & & & & & 用nmtui修改hostname后，主机名保存在这里/etc/resolv.conf& & & &
保存DNS设置，不需要手工改，nmtui里面设置的DNS会出现在这里/etc/sysconfig/network-scripts/& & & & & & 连接配置信息 ifcfg 文件/etc/NetworkManager/system-connections/& & VPN、移动宽带、PPPoE连接4
【内容导航】
相关资讯 & & &
& (12/28/:02)
& (09/28/:44)
& (04月03日)
& (12/15/:59)
& (07/22/:37)
　　　同意评论声明
　　　发表
尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款欢迎您光临亿恩科技官网！
域名常见问题
虚拟主机使用指南
云主机使用指南
服务器租用/托管指南
服务器租用/托管指南
智能建站使用指南
> >文章内容
如何确定网络中IP地址被ARP协议欺骗盗用
发布时间:&& 10:31:28
&问：我是一个小公司的网络管理员，最近总是出现IP地址冲突的问题，另外由于经常有外来人员使用笔记本连接公司网络，再加上公司的IP地址因为某种原因是手动设置的固定IP，公司对于IP地址分布也没有留有任何记录信息，所以当有新计算机要连接到网络中时只是随便设置一个，挑选的地址也是那些分布在网络末尾或比较大的数字，但是久而久之随意设置的IP地址过多，在新计算机连接网络时再设置IP地址很容易造成冲突。请问IT168的专家是否有好办法可以解决我目前遇到的问题，帮助我在设置IP地址前对网络中的所有IP地址进行扫描，明确哪个IP被占用，哪个没有被占用。当然了解了如何扫描网络中已占用的IP地址的话，我就可以将扫描到的地址打印进行保管，以后新计算机接入网络不使用这些地址即可。
答：在网络中出现IP地址冲突的问题是非常麻烦的，一方面他扰乱了我们网络管理员管理网络，另一方面他影响了普通用户的正常上网。特别是对于部分中小公司来说经常将IP地址与网络资源访问权限相关联，一旦IP地址被占用非法用户将能非法使用网络资源。遇到这种情况我们如何查出哪个IP地址被占用呢？
正如前面网友提出的问题一样，当公司使用手动设置IP地址且没有有效管理设置的IP地址的话，很容易出现随意设置地址并经常冲突的问题。遇到这种情况也需要我们学会扫描整个网络，将已经连接到网络中的IP地址进行记录，防止地址冲突现象的发生。我们主要有以下几个办法可以帮助大家扫描网络中已用的IP地址。
方法一：原始ping法
第一个方法比较简单，而且受环境限制比较大。众所周知在没有安装防火墙和设置过滤规则的计算机上都容许ICMP协议数据包的通过，那么我们可以通过&ping ip地址&这个命令来查看该IP地址是否有计算机使用。
通过任务栏的&开始-&运行&，输入CMD后回车进入命令行模式。假设公司网络是192.168.1.0/255.255.255.0，那么我们可以通过ping 192.168.1.1，ping 192.168.1.2......ping 192.168.1.254来测试IP地址是否被占用。
由于原始ping法比较简单，这里就不详细说明了，但是这种方法遇到计算机上安装了防火墙对ICMP协议进行过滤的话，或者公司交换机和路由器上对ICMP实施ACL访问控制列表过滤的话就不可行了。因此这个方法受的局限比较大，一般测试的成功率不高，很容易把安装了防火墙的计算机对应的IP地址认为没有被使用。
方法二：扫描器扫描法
以前笔者在进行网络安全工作时就经常使用扫描器扫描网络中各个主机的漏洞，那么现在我们完全可以使用此方法来查看本网络有哪些IP地址被占用。由于扫描器扫描时并不是仅仅使用ICMP协议进行ping，我们可以设置，让扫描器多扫描几个端口，多扫描几个服务。这样即使计算机上安装了防火墙或者交换机上有访问控制列表过滤ICMP协议，只要该计算机开放了某些端口或某些服务，就不会出现漏报的问题。
通过扫描器扫描出来的IP地址列表还可以导出成HTML文件或TXT文件，这样方便我们保存和统计。
当然扫描器工具很多，这里推荐大家使用安全焦点出的X-SCAN和LANHELPER，感兴趣的读者可以自行下载使用。
使用扫描器扫描法可以查看出网络中几乎全部计算机使用的IP地址，但是对于那些极个别的设置了防火墙的复杂规则，过滤了大部分常用端口和常见服务的计算机来说，还是会或多或少的出现漏报或错报的问题，再加上扫描器扫描法还需要我们下载专门的工具，所以也给操作上带来了不方便。
方法三：sniffer监视法
作为网络管理员的我们应该都会使用sniffer，那么我们只需要在网络中开启sniffer对网络传输的数据包进行监视，过一段时间就会查出有哪些IP地址有数据包发出，这样就可以确定该IP地址已经被占用了。
不过用sniffer的方法不能将已经占用的IP地址保存成文件输出，而且给人有一种大材小用的感觉，毕竟sniffer正统不是用来做扫描IP地址的。
方法四：ARP缓存法
实际上笔者还发现了一个方法可以解决网友提出的问题，他的原理是通过ARP缓存来查看获得的，不用使用任何第三方工具，使用系统自带的ARP -A即可。
ARP缓存法是以前面介绍的ping法为基础而来的，对于安装了防火墙或设置过滤规则的计算机来说直接ping该IP地址是得不到返回信息的，但是有一点我们必须注意，那就是虽然无法从ping的返回信息中得出该IP地址是否被占用，但是从ARP缓存中却可以看出来。防火墙等过滤设置可以不容许ICMP协议返回数据包给源地址，但是由于ARP是工作在二层上的，所以在ICMP协议数据包被过滤前ARP已经通过查看MAC的方式获得了网络中在线主机的MAC地址。
只要网络中的计算机想上网，那么他一定会将自己网卡的MAC地址告诉与其连接的交换机，接下来交换机也会进一步将他知道的MAC地址信息反馈给使用ping的主机。这样我们在使用ping的主机上就能够通过是否获得MAC地址的方式来了解该IP地址对应的计算机是否在线了。
通过任务栏的&开始-&运行&，输入CMD后回车进入命令行模式。假设公司网络是192.168.1.0/255.255.255.0，那么我们可以通过ping 192.168.1.1，ping 192.168.1.2......ping 192.168.1.254来测试IP地址是否被占用。当然不管ping返回的是通还是不通，全部ping完后执行arp -a命令显示ARP缓存表，出现在缓存表中的IP地址就是被占用的地址。
对批处理命令熟悉的网络管理员还可以自行编辑一个BAT命令来完成上面的一系列ping操作，BAT文件的内容如下：
FOR /L %i IN (0,1,255) Do ping X.X.X.%i -n 1
arp -a & IP.txt
这个批处理文件将列出所有正在使用的IP地址跟他们的MAC地址，保存到ip.txt文件中。当然语句中的X.X.X.%i是可以进行修改的，例如公司网络为192.168.1.0/255.255.255.0那么应该修改为
FOR /L %i IN (0,1,255) Do ping 192.168.1.%i -n 1
arp -a & IP.txt
最后再把这个方法的原理进行总结&&我们向网段内所有IP地址发送一个icmp包，也许他屏蔽了ICMP包，但是这不要紧，只要他使用了该IP地址就一定会回应一个他的mac地址的数据包过来，这样用arp -a察看本地的arp缓存就能看到他的IP地址跟MAC地址了。
我们也可以使用nbtstat -A IP命令来替代arp -a命令。
也许有人会问计算机能够禁止ARP数据包的通过呢？实际上计算机上能禁止ICMP包，但是是不可能禁止arp包的，如果禁止了arp，那么交换机就找不到该计算机了，该计算机也无法连接网络，访问网络上的任何资源了。所以说ARP缓存法让我们通过现象看到了本质，即使ping无法返回任何有用信息，但是实际上他已经帮助我们找出了在线主机对应的MAC地址，进一步了解了他的IP地址。
本文介绍了四种方法来解决查看网络中已经使用的IP地址的办法，当然各种方法有各种方法的特点，有的使用了第三方工具但是查看地址列表更加清晰，有的没有使用软件仅仅采用系统自带命令但是受到网络环境的局限，而有的虽然没有任何工具，但是需要编写批处理文件，难度较大。当然究竟采取哪个方法来解决实际问题，是需要我们这些网络管理员自己去比较，自己去选择的。个人推荐使用第四种方法&&ARP缓存法。本文出自：
您可能在找
扫扫关注-微信公众号
ENKJ All Rights Reserved 亿恩科技 版权所有　 地址：郑州市高新区翠竹街1号总部企业基地亿恩大厦　 法律顾问：河南三融律师事务所周跃、裴松龄律师 　使用arp/ping命令设置IP地址
如果正在使用UNIX或OS/2，需要使用arp和ping命令设置网络接口的IP地址。 如果在Windows Me/98/XP/2000/NT 4.0系统下正确安装了TCP/IP协议，您也可以在这些系统下使用这些命令。
确保在EpsonNet Config的TCP/IP菜单中设置使用PING功能启用。 如果这项功能不可用，那么就不能使用arp/ping命令设定IP地址。
确保网络接口和计算机在相同的网段。
在开始之前，您需要以下信息：
网络接口的有效IP地址。 向系统管理员申请一个与网络上其它设备IP地址都不相冲突的IP地址。 如果您是系统管理员，在您的子网内选择一个与其它设备不相冲突的地址。
网络接口的MAC（以太网硬件）地址。 您可以在状态页上找到MAC地址。
首先，您需要在相同网段从一台计算机到另一台计算机进行检查，见下：
为您正在设置网络接口的主机上设定默认网关。
如果有服务器或路由器作为网关，输入服务器或路由器的地址。 如果没有网关，输入您的计算机的IP地址作为网关地址。
假设您想到达的计算机具有IP地址&192.168.100.101&。 通过来自于命令行的&pinging&: ping 192.168.100.101查检是否到达的计算机。
如果计算机能访问，您将看到下面的结果（准确的信息与操作系统有关，时间可能不同）：64 bytes from 192:168:100:101:icmp_seq=0. Time=34.ms
如果不能访问计算机，您将看到类似于下面的信息：PING 192:168:100:101:56 data bytes
如果按Ctrl-C，您可以看到类似下面的消息： 192:168:100:101 PING Statistics
3 packets transmitted, 0 packets received,
100% packet loss
同样，根操作系统不同，您所看到的确切消息可能会与这里的不同。 如果您不能&ping&到计算机，检查下面：
ping命令中的地址正确。
以太网与计算机的连接正确，并且所有集线器，路由器等开关打开。
使用ping命令和带s标记的arp命令（创建ARP实体）来设置从网络管理员获取的新的网络接口IP地址。
在下面的过程中，我们假设网络接口的MAC地址是 00:00:48:93:00:00 (十六进制)，且您所分配到的IP地址是192.168.100.201 (十进制)。 当输入命令时，用您的有效值代替这些地址。
在命令行上键入：样例： arp -s 192.168.100.201 00-00-48-93-00-00
执行ping命令来设置IP地址： 样例： ping 192.168.100.201
网络接口现在对ping做出响应。 如果不响应，您可能在arp s命令里输入了错误的MAC地址或IP地址。 再次检测并重试。 如果这些行动有效，重新初始化网络接口并重试。
打印状态页以检查是否新的IP地址分配到网络接口。
当由ping命令设置IP地址时，IP地址级别自动更改子网掩码。 要根据网络环境更改子网掩码和默认网关，对于Windows或Macintosh使用EpsonNet Config。 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
实验六 网络命令(ARP、PING)的使用分析
下载积分：300
内容提示：实验六 网络命令(ARP、PING)的使用分析
文档格式：PDF|
浏览次数：55|
上传日期： 04:00:22|
文档星级：
全文阅读已结束，如果下载本文需要使用
 300 积分
下载此文档
该用户还上传了这些文档
实验六 网络命令(ARP、PING)的使用分析
官方公共微信博客访问： 166280
博文数量： 47
博客积分： 1405
博客等级： 上尉
技术积分： 470
注册时间：
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
Arp命令在检测与自己的IP地址相同的工作站时非常有用。重复的IP地址会间歇性地减慢已建立的连接，使连接超时或连接破坏。共享IP地址的所有主机都会性能下降，甚至完全脱离网络。
用户可以使用arp –a命令来查询ARP高速缓存表，注意每个项都包含了分配给主机的IP地址和与主机接口相对应的MAC地址，arp –a的输出并不是表示ARP只与几个主机联系，实际上，如果主机在一定时间（可配置）内没有与项中的主机通信，ARP就丢弃此项――大多数实现的缺省超时时间为4分钟
如果两台主机不小心被配置成共享一个IP地址，它们都将响应与此IP地址有关的ARP请求，这就引起了麻烦。这两个响应中，只有先到达的那个被处理、缓存并使用在数据交换过程中，因此，如果MAC地址属于“冒充者”，则源主机将不能与自己希望的目标主机对话，因为数据帧携带了错误的地址。
通过使用ping和arp命令可以帮助查找网络中重复的IP地址
1．要确定重复的IP地址是否属于用户的工作站，需要将它从物理上脱离网络。用另一台工作站使用ping命令来强制发一个ARP请求广播，命令中的IP地址使用断开连接的主机的IP地址，如果收到一个响应为“hostname is alive”，则表示这个IP地址被重复使用，下一步则是在用ping命令的主机上再使用arp –a命令，并记下响应主机的MAC地址，具有此MAC地址的主机就是有重复IP地址的主机。
2．为了确定服务器的IP地址是否重复和确定重复此IP的主机的MAC地址，对网络上的所有工作站进行下面的测试
1）用arp –a来检查ARP缓存，以寻找要调查的IP地址，若该地址在缓存中存在，则使用arp –d命令将该项删除，以确保ARP请求获得的响应能重新被缓存下来。例如：
#arp –a|grep “100.0.0.3”
(100.0.0.30)at 0:0:c0:1a:b2:80
#arp –d 100.0.0.3
2)使用ping命令强制一个ARP请求广播，指定的地址应是怀疑有重复地址的服务器的地址
3)检查ARP缓存，这时应该能看见一个被ping过的IP地址项，注意相应的MAC地址，并与服务器的IP地址比较，如果MAC地址相符，就重复前两步。可能必须多次测试才能找到两个不同的MAC地址。
阅读(4675) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧！~~
请登录后评论。