通过tcpdump确认Linux系统是否收到和响应ping包

简单说就是发现某系统无法被ping通，需要确认是服务器收到了ping包没有响应，还是它压根没有收到ping包

在Linux系统上执行以下命令

tcpdump -i eth0 icmp

-i：指定检测哪个网口，不指定此参数将捕获所有接口数据，包括lo；

#-v：显示详细信息，可选，对于上述问题来讲，不加-v也能完成，且输出格式更整齐；

icmp：ping包走icmp协议，这个不用解释了吧

执行命令后，查看是否有request和reply。如下：

[root@VLT ~] # tcpdump -i eth0 icmp
tcpdump: verbose output suppressed, use - v  or -vv  for  full protocol decode
listening on eth0, link- type  EN10MB (Ethernet), capture size 65535 bytes
11:15:41.138115 IP 172.16.x.xxx > 172.30.x.xxx: ICMP  echo  request,  id  1,  seq  17, length 40
11:15:41.138149 IP 172.30.x.xxx > 172.16.x.xxx: ICMP  echo  reply,  id  1,  seq  17, length 40
11:15:42.139969 IP 172.16.x.xxx > 172.30.x.xxx: ICMP  echo  request,  id  1,  seq  18, length 40
11:15:42.139997 IP 172.30.x.xxx > 172.16.x.xxx: ICMP  echo  reply,  id  1,  seq  18, length 40

出现request说明系统收到ping包，出现reply说明系统响应ping包。

如果只出现request，那么

    1、检查sysctl -a | grep icmp_echo，确认net.ipv4.icmp_echo_ignore_all=0

    2、检查iptables -vL，确认-p icmp为ACCPET

如果没有request和reply都没有，那么说明ping包未能到达此主机，需要检查链路或者前端防火墙的策略。

 tcpdump的选项介绍

-a将网络地址和广播地址转变成名字；

-b在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。tcpdump -b arp 将只显示网络中的arp即地址转换协议信息；

-c在收到指定数目的包后，tcpdump就会停止；

-d将匹配信息包的代码以人们能够理解的汇编格式给出；

-dd将匹配信息包的代码以c语言程序段的格式给出；

-ddd将匹配信息包的代码以十进制的形式给出；

-e在输出行打印出数据链路层的头部信息；

-f将外部的Internet地址以数字的形式打印出来；

-F从指定的文件中读取表达式,忽略其它的表达式；

-i指定监听的网络接口；

-l使标准输出变为缓冲行形式,如tcpdump -l >tcpcap.txt将得到的数据存入tcpcap.txt文件中；

-n不进行IP地址到主机名的转换；

-N不打印出默认的域名

-nn不进行端口名称的转换；

-O不进行匹配代码的优化，当怀疑某些bug是由优化代码引起的, 此选项将很有用；

-r从指定的文件中读取包(这些包一般通过-w选项产生)；

-s抓取数据包时默认抓取长度为68字节。加上 -s 0 后可以抓到完整的数据包

-t在输出的每一行不打印UNIX时间戳，也就是不显示时间；

-T将监听到的包直接解释为指定的类型的报文，常见的类型有rpc(远程过程调用)和snmp；

-tt打印原始的、未格式化过的时间；

-v输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

-vv输出详细的报文信息；

-w直接将包写入文件中，并不分析和打印出来；

以下是tcpdump的其他一些示例（转载）

1、抓取包含10.10.10.122的数据包 

tcpdump -i eth0 -vnn host 10.10.10.122

2、抓取包含10.10.10.0/24网段的数据包

tcpdump -i eth0 -vnn net 10.10.10.0 /24

3、抓取包含端口22的数据包

tcpdump -i eth0 -vnn port 22

4、抓取udp协议的数据包

tcpdump -i eth0 -vnn  udp

5、抓取icmp协议的数据包

tcpdump -i eth0 -vnn icmp

6、抓取arp协议的数据包

tcpdump -i eth0 -vnn arp

7、抓取ip协议的数据包

tcpdump -i eth0 -vnn ip

8、抓取源ip是10.10.10.122数据包。

tcpdump -i eth0 -vnn src host 10.10.10.122

9、抓取目的ip是10.10.10.122数据包

tcpdump -i eth0 -vnn dst host 10.10.10.122

10、抓取源端口是22的数据包

tcpdump -i eth0 -vnn src port 22

11、抓取源ip是10.10.10.253且目的ip是22的数据包

tcpdump -i eth0 -vnn src host 10.10.10.253 and dst port 22

               
12、抓取源ip是10.10.10.122或者包含端口是22的数据包

tcpdump -i eth0 -vnn src host 10.10.10.122 or port 22

13、抓取源ip是10.10.10.122且端口不是22的数据包

tcpdump -i eth0 -vnn src host 10.10.10.122 and not port 22

14、抓取源ip是10.10.10.2且目的端口是22，或源ip是10.10.10.65且目的端口是80的数据包。

tcpdump -i eth0 -vnn \( src host 10.10.10.2 and dst port 22 \) or   \( src host 10.10.10.65 and dst port 80 \)

15、抓取源ip是10.10.10.59且目的端口是22，或源ip是10.10.10.68且目的端口是80的数据包。

tcpdump -i  eth0 -vnn  'src host 10.10.10.59 and dst port 22'  or   ' src host 10.10.10.68 and dst port 80 '

16、把抓取的数据包记录存到/tmp/fill文件中，当抓取100个数据包后就退出程序。

tcpdump –i eth0 -vnn -w   /tmp/fil1  -c 100

17、从/tmp/fill记录中读取tcp协议的数据包

tcpdump –i eth0 -vnn -r   /tmp/fil1  tcp

18、从/tmp/fill记录中读取包含10.10.10.58的数据包

tcpdump –i eth0 -vnn -r   /tmp/fil1  host  10.10.10.58