3类Linux网络命令搞定网络安全排查80%问题

在网络安全排错中，ip、ping、ss 三大 Linux 命令是定位入侵、异常连接、流量劫持的核心工具，使用直接可解决 80% 网络安全排查问题，具体用法及安全场景如下：
一、IP 命令：
查网络接口：ip address show 显示全部接口，ip address show ens160 查指定接口，快速发现未授权新增的网络接口（攻击者新增接口监听流量）；
查路由表：ip route show 查看路由，ip route | grep default 查默认网关，排查路由被篡改（攻击者篡改路由实现流量劫持）；
查 ARP 缓存：ip neighbour show 显示 ARP 缓存，识别异常 MAC-IP 对应关系，定位 ARP 欺骗攻击；
配置防护：ip address add 192.168.1.100/24 dev ens160 规范 IP 配置，ip route add 192.168.2.0/24 via 192.168.1.1 加固静态路由，避免路由被恶意修改。
二、ping 命令：
基础连通性：ping example.com 测试目标连通性，排查是否被防火墙拦截、目标主机是否宕机（攻击者阻断正常访问）；
精准测试：ping -c 4 example.com 限定发包数，ping -i 2 example.com 控制发包间隔，ping -s 16 example.com 调整包大小，ping -t 64 example.com 设置 TTL，用于排查 DDoS 的高频 / 大流量发包；
安全用途：通过 ping 的丢包率、延迟变化，识别 SYN 洪水、UDP 洪水等攻击前兆，及时触发防护。
三、SS 命令：
查所有连接：ss -a 显示所有连接（含监听），发现未授权的后门监听端口；
分协议排查：ss -t 查 TCP 连接，ss -u 查 UDP 连接，定位与恶意 IP 的异常持续连接；
查监听端口：ss -l 仅显示监听套接字，排查非业务端口的非法监听（如 22、3389 被恶意监听）；
关联进程：ss -p 显示进程信息，直接定位占用异常端口的恶意进程（挖矿程序、木马）；
快速解析：ss -n 不解析服务名直接显端口，ss -r 解析主机名，提升恶意连接源的锁定效率。
如果本篇内容对你有所帮助，那么相信我的其他内容也会给你带来收获~