34、网络连接测试与安全防护指南

网络连接测试与安全防护指南

1. 网络连接测试概述

在大多数情况下，网络连接从启动的那一刻起就能正常工作。但有时可能需要诊断问题，原因可能是根本无法建立连接，或者原本正常的连接突然中断。以下将介绍几种网络测试类型，包括检查路由表、测试基本连接性、查找连接中断位置、测试 DNS 功能以及检查网络状态。

2. 检查路由表

可以使用 route 命令来检查路由是否合理。在大多数情况下，单独输入 route 即可完成检查：

$ route
Kernel IP routing table
Destination  Gateway      Genmask       Flags Metric Ref  Use Iface
192.168.29.0  *            255.255.255.0 U     0      0      0 eth0
127.0.0.0     *            255.0.0.0     U     0      0      0 lo 
default      192.168.29.1 0.0.0.0        UG    0      0      0 eth0

上述输出表明，目标为 192.168.29.0 （即 IP 地址在 192.168.29.1 到 192.168.29.254 之间的任何计算机）的数据将直接通过 eth0 传输。 127.0.0.0 网络是一个特殊接口，用于“回环”到发起计算机，Linux 将其用于一些内部网络目的。最后一行显示了默认路由，它描述了如何处理路由表中未匹配到其他条目的所有内容。此条目中默认路由的网关系统为 192.168.29.1 。如果该网关缺失或配置错误，一些或所有发往外部网络（如互联网）的流量将无法超出本地网络段。

3. 测试基本连接性

最基本的网络测试是 ping 命令，它会向指定的系统（通过 IP 地址或主机名）发送一个简单的网络数据包，并等待回复。在 Linux 中， ping 会每秒左右持续发送数据包，直到你使用 Ctrl+C 键中断它。你也可以通过 -c num 选项指定有限的测试次数。以下是其输出示例：

$ ping -c 4 nessus
PING nessus.example.com (192.168.1.2) 56(84) bytes of data.
64 bytes from nessus.example.com (192.168.1.2): icmp_req =1 ttl =64m time =0.607 ms
64 bytes from nessus.example.com (192.168.1.2): icmp_req =2 ttl =64m time =0.147 ms
64 bytes from nessus.example.com (192.168.1.2): icmp_req =3 ttl =64m time =0.145 ms
64 bytes from nessus.example.com (192.168.1.2): icmp_req =4 ttl =64m time =0.283 ms

--- nessus.example.com ping statistics ---
4 packets transmitted, 4 received, 0 % packet loss, time 3001ms 
rtt min/avg/max/mdev  = 0.145/0.295/0.607/0.189 ms

此命令发送了四个数据包并等待它们返回，由于目标系统在本地网络上，返回速度非常快（平均为 0.295 毫秒）。一些常见的问题模式可以帮助你诊断网络问题所在：
- 如果可以 ping 通本地系统但无法 ping 通远程系统，问题可能出在路由器或路由器配置不当上。
- 如果可以通过 IP 地址 ping 通但不能通过主机名 ping 通，问题很可能出在 DNS 服务器或 DNS 配置上。
- 如果根本无法 ping 通，即使使用 IP 地址也不行，那么可能存在基本配置问题。

4. 查找连接中断位置

比 ping 更高级的是 traceroute 命令，它会向本地系统和指定目标系统之间的每台计算机发送一系列三个测试数据包。以下是 traceroute 输出示例：

$ traceroute -n 10.1.0.43
traceroute to 10.1.0.43 (10.1.0.43), 30 hops max, 52 byte packets
1  192.168.1.2  1.021 ms  36.519 ms  0.971 ms 
2  10.10.88.1  17.250 ms  9.959 ms  9.637 ms 
3  10.9.8.173  8.799 ms  19.501 ms  10.884 ms 
4  10.9.8.133  21.059 ms  9.231 ms  103.068 ms 
5  10.9.14.9  8.554 ms  12.982 ms  10.029 ms 
6  10.1.0.44  10.273 ms  9.987 ms  11.215 ms 
7  10.1.0.43  16.360 ms  *  8.102 ms 

-n 选项告诉命令显示目标计算机的 IP 地址而不是主机名，这可以加快处理速度，特别是在存在 DNS 问题时，并且有时可以使输出更易于阅读。不过，你可能希望知道问题系统的主机名，因为它们可以帮助你确定问题的责任方。

traceroute 的输出可以从多个方面进行诊断：
- 通常，随着跳数的增加，时间会增加，这是正常现象。
- 单跳时间的变化可能表明路由器过载或存在其他间歇性问题导致时间变化。
- 有时数据包没有收到响应，这在时间字段中用星号（ * ）表示。
- 时间的急剧跳跃可能表明路由器之间存在很大的物理距离。

traceroute 有助于确定网络连接问题是否存在于你负责的网络中。如果问题链路在你的管辖范围内，你可以检查问题系统、附近系统以及整个网络段的状态。

5. 测试 DNS

DNS 问题可能导致网络几乎像物理电缆被切断一样无法正常工作。由于人和许多网络工具都依赖主机名，如果 DNS 解析不起作用，网络将几乎无法使用。

可以使用多种工具来测试网络的 DNS 服务器，如 host 、 dig 和 nslookup 。这些工具在很多方面相似，都可以通过输入命令名后跟主机名来查找主机名：

$ host www.sybex.com
www.sybex.com has address 208.215.179.220

此示例显示了正常的名称解析，在这种情况下，主机名直接链接到一个 IP 地址。在某些情况下，你可能会发现有关别名或多个 IP 地址的通知，这对于某些站点来说也是正常的。但如果命令响应时间过长，或者抱怨超时或无法访问服务器，则意味着计算机的 DNS 配置有误。

你可以添加特定 DNS 服务器的 IP 地址来测试该服务器，例如 host www.whitehouse.gov 192.168.39.7 。如果计算机配置为使用多个 DNS 服务器，可以通过这种方式分别测试每个服务器。如果某个服务器不可靠或配置不正确，你可能需要将其从配置中删除。但要注意，如果在通过 DHCP 配置的计算机上从 /etc/resolv.conf 中删除 DNS 服务器，更改最终会被 DHCP 覆盖。如果这是一个反复出现的问题，你应该咨询网络管理员。

虽然 host 是执行基本主机名查找的有用工具，但 dig 实用程序（或已被弃用的 nslookup ）可以执行更复杂的查询，并返回有关主机名、域名或 IP 地址的更多信息。这使得 dig 成为高级网络诊断的有用工具，但使用起来不太方便，新手更难解释其输出。

6. 检查网络状态

另一个有用的诊断工具是 netstat ，它就像网络工具中的瑞士军刀，根据传递的参数不同，可以替代其他几种工具，还能返回其他方式不易获取的信息。以下是一些示例：
| 参数 | 功能 |
| — | — |
| --interface 或 -i | 获取有关网络接口的信息，类似于 ifconfig 返回的信息 |
| --route 或 -r | 获取类似于 route 命令显示的路由表列表 |
| --masquerade 或 -M | 获取有关 Linux 网络地址转换（NAT）功能介导的连接信息 |
| --program 或 -p | 尝试提供使用网络连接的程序的信息 |
| 无参数或其他参数 | 返回有关开放端口及其连接的系统的信息 |
| --all 或 -a | 与其他选项结合使用，显示服务器程序为监听网络连接而打开的端口信息 |

需要注意的是， netstat 是一个强大的工具，其选项和输出在不同的发行版中并不完全一致。你可能需要阅读其手册页并进行实验，以了解它的功能。

7. 保护系统安全

网络为用户提供了许多有用的功能，但也带来了很多风险。网络安全是一个复杂的话题，以下是一些可以采取的基本措施来防止系统被入侵：
- 关闭未使用的服务器 ：Linux 的主要安全漏洞不在于蠕虫和病毒，而在于外部人员通过滥用你运行的服务器程序入侵你的计算机。因此，不必要时不要运行服务器。一些发行版会自动安装和运行服务器，如 Secure Shell（SSH）、Apache 网络服务器或邮件服务器（如 Sendmail 或 Postfix）。最彻底的删除服务器的方法是使用包管理系统卸载它，但必须使用卸载相关包的命令。
- 启用防火墙 ：防火墙是一种程序或系统设置，用于管理网络事务，根据编程标准允许或拒绝它们。大多数 Linux 发行版默认启用防火墙，但你可能需要根据具体需求调整其设置。
- 使用强密码 ：选择一个好的密码可以最大程度地降低外部人员通过猜测密码入侵的风险。
- 保持警惕 ：要对不可信的数据来源保持警惕。网络钓鱼和类似攻击可能会诱使个人泄露密码、财务数据等。虽然 Linux 的恶意软件很少，但很容易制作。最好只使用官方软件来源，并记住电子邮件、网站和其他通信可能是伪造的。
- 保持软件更新 ：定期检查系统的软件更新，因为许多更新可以修复安全漏洞，防止外部人员或合法但恶意的用户利用这些漏洞控制你的计算机。

8. 建议练习

• 在你控制的小型专用网络或在教师监督的实验室环境中，将使用 DHCP 的计算机重新配置为静态使用其分配的 IP 地址。测试连接后再切换回 DHCP。请勿在正常使用的工作或学校网络上进行此测试，因为计算机 IP 地址配置错误可能会给其他计算机带来问题。
• 备份 /etc/resolv.conf 文件，然后编辑原始文件，使其 nameserver 行指向不运行 DNS 服务器的计算机。通过 ping 、Web 浏览器和其他实用程序尝试访问远程服务器来测试网络配置。观察出现的故障类型。完成测试后，恢复原始文件。

9. 复习问题

1. 你想通过静态 TCP/IP 配置在本地网络上设置一台计算机，但缺少网关地址。以下哪项是正确的？
   A. 因为网关地址是必需的，所以 TCP/IP 网络功能都无法工作。
   B. TCP/IP 网络将正常工作，但你将无法将主机名转换为 IP 地址，反之亦然。
   C. 你将能够与本地网络段上的机器通信，但不能与其他系统通信。
   D. 计算机将无法区分哪些其他计算机是本地的，哪些是远程的。
   E. 你可以将计算机用作网络服务器系统，但不能用作网络客户端。
2. 输入 ifconfig eth0 会返回以下哪些类型的信息？（选择所有适用的选项）
   A. 使用 eth0 的程序名称
   B. 分配给 eth0 的 IP 地址
   C. eth0 的硬件地址
   D. 与 eth0 关联的主机名
   E. eth0 通信的网关
3. 当你使用 IP 地址时， ping 实用程序正常响应，但使用你确定对应此 IP 地址的主机名时却不正常。可能是什么原因导致此问题？（选择所有适用的选项）
   A. 你的计算机与其 DNS 服务器之间的路由可能不正确。
   B. 目标计算机可能配置为忽略 ping 数据包。
   C. 目标系统上的 DNS 配置可能损坏。
   D. 你的计算机的主机名可能设置不正确。
   E. 你的计算机的 DNS 配置可能损坏。
4. 判断：IPv4 地址长度为 4 字节。
5. 判断： /etc/resolv.conf 文件告诉计算机是否使用 DHCP 进行网络配置。
6. 判断：你可以在 shell 提示符下输入 route 来检查当前路由表的状态。
7. 哪个程序是一个多功能网络工具，它可以完成与 ifconfig 、 route 等类似的许多功能？
8. Linux 中第一个以太网接口的传统名称（但在 Fedora 的最新版本中不是）是什么？
9. 什么是一种程序或系统配置，它根据你指定的标准阻止或允许对计算机的网络访问、来自计算机的网络访问或通过计算机的网络访问？
10. 在某些 Linux 发行版中，显示默认路由的 route 命令的替代命令是什么？

通过以上的网络连接测试方法和安全防护建议，你可以更好地管理和保护自己的网络系统。在实际操作中，要根据具体情况灵活运用这些工具和方法，确保网络的稳定和安全。

网络连接测试与安全防护指南（续）

10. 网络测试与安全防护总结

在前面的内容中，我们详细介绍了网络连接测试的多种方法以及保障系统安全的重要措施。下面通过一个表格来总结这些关键信息：
| 测试或防护类型 | 工具或方法 | 作用及说明 |
| — | — | — |
| 检查路由表 | route 命令 | 查看路由表信息，确认默认路由配置是否正确，影响外部网络访问 |
| 测试基本连接性 | ping 命令 | 向指定系统发送数据包并等待回复，判断网络基本连通性，可通过不同响应情况诊断问题 |
| 查找连接中断位置 | traceroute 命令 | 发送测试数据包到目标系统路径上的每台计算机，根据输出诊断连接问题位置和网络状况 |
| 测试 DNS | host 、 dig 、 nslookup | 查找主机名对应的 IP 地址，测试 DNS 服务器功能和配置是否正常 |
| 检查网络状态 | netstat 命令 | 多功能工具，根据不同参数可获取接口、路由、NAT、程序使用、开放端口等多种网络信息 |
| 保护系统安全 | 关闭未使用服务器、启用防火墙、使用强密码、保持警惕、更新软件 | 降低系统被入侵风险，保障网络安全 |

11. 网络测试与安全防护流程

为了更清晰地展示在遇到网络问题时的处理流程，我们可以使用 mermaid 流程图：

graph LR
    A[网络出现问题] --> B{能否 ping 通本地系统}
    B -- 是 --> C{能否 ping 通远程系统}
    B -- 否 --> D[检查基本配置]
    C -- 是 --> E{能否通过主机名 ping 通}
    C -- 否 --> F[检查路由器及配置]
    E -- 是 --> G[进行其他网络测试]
    E -- 否 --> H[检查 DNS 服务器及配置]
    D --> I[检查 IP 地址、子网掩码等配置]
    F --> J[检查路由器设置、网关配置]
    H --> K[使用 host、dig 等工具测试 DNS]
    G --> L[使用 traceroute 查找连接中断位置]
    L --> M{问题是否在本地网络}
    M -- 是 --> N[检查本地网络设备、线路]
    M -- 否 --> O[联系网络服务提供商]
    N --> P[修复本地网络问题]
    P --> Q[再次测试网络连接]
    O --> R[等待服务提供商解决问题]
    R --> Q
    Q --> S{网络是否正常}
    S -- 是 --> T[完成网络测试与修复]
    S -- 否 --> A

12. 详细操作步骤补充

12.1 ping 命令详细操作

• 持续发送数据包 ：在 Linux 中，直接输入 ping 目标 IP 地址或主机名，如 ping nessus ，它会每秒左右持续发送数据包，直到使用 Ctrl+C 中断。
• 指定测试次数 ：使用 -c num 选项指定发送数据包的数量，例如 ping -c 4 nessus 会发送四个数据包并等待回复。

12.2 traceroute 命令详细操作

• 显示 IP 地址 ：使用 -n 选项，如 traceroute -n 10.1.0.43 ，可以避免解析主机名，加快输出速度，特别是在存在 DNS 问题时。

12.3 host 命令详细操作

• 基本使用 ：输入 host 后跟主机名，如 host www.sybex.com ，可进行基本的名称解析。
• 测试特定 DNS 服务器 ：在主机名后添加 DNS 服务器的 IP 地址，如 host www.whitehouse.gov 192.168.39.7 ，测试该 DNS 服务器的功能。

12.4 netstat 命令详细操作

• 获取接口信息 ：使用 netstat --interface 或 netstat -i ，获取类似于 ifconfig 的网络接口信息。
• 获取路由信息 ：使用 netstat --route 或 netstat -r ，查看路由表信息。
• 获取 NAT 信息 ：使用 netstat --masquerade 或 netstat -M ，了解 Linux 网络地址转换的连接信息。
• 获取程序使用信息 ：部分版本支持 netstat --program 或 netstat -p ，尝试获取使用网络连接的程序信息。
• 查看开放端口 ：使用 netstat 结合其他参数或无参数，查看开放端口及连接系统信息。
• 显示所有连接 ：使用 netstat --all 或 netstat -a ，显示服务器程序监听的端口和已打开的连接信息。

13. 常见问题解答

13.1 为什么 ping 不通远程系统但能 ping 通本地系统？

可能是路由器配置问题，如默认路由缺失或配置错误，导致流量无法转发到外部网络。也可能是路由器故障，需要检查路由器的状态和设置。

13.2 traceroute 输出中出现很多星号怎么办？

有些路由器会阻止 traceroute 数据，如果输出中从某一点开始全是星号，可能遇到了这样的路由器。可以尝试联系网络管理员或服务提供商了解情况。

13.3 DNS 测试命令响应时间长或报错怎么办？

这可能表示计算机的 DNS 配置有误。可以检查 /etc/resolv.conf 文件中的 DNS 服务器地址是否正确，也可以使用 host 命令测试特定的 DNS 服务器，若某个服务器不可靠，可考虑更换。

14. 总结与展望

网络连接测试和安全防护是保障网络系统稳定运行的重要环节。通过掌握各种测试工具和方法，如 ping 、 traceroute 、 host 、 netstat 等，以及采取有效的安全防护措施，如关闭未使用服务器、启用防火墙等，可以及时发现和解决网络问题，降低系统被入侵的风险。

在未来的网络环境中，随着技术的不断发展，网络安全面临着更多的挑战和威胁。我们需要不断学习和更新知识，关注网络安全的最新动态，灵活运用各种工具和方法，以适应不断变化的网络环境，确保网络系统的安全和稳定。同时，合理规划和配置网络，提高网络的性能和可靠性，也是我们需要持续努力的方向。

希望本文介绍的内容能帮助你更好地管理和保护自己的网络系统，如果你在实际操作中遇到任何问题，欢迎随时留言讨论。