【网络工程】ICMP 与网络诊断：ping 和 traceroute 的工程本质

# 用 tcpdump 捕获 ICMP 错误消息并显示类型和代码
tcpdump -i eth0 -nn -v 'icmp and icmp[0] == 3' -c 10
# 输出示例：
# IP 10.0.0.1 > 10.0.0.100: ICMP host 10.0.0.50 unreachable, length 56
# IP 10.0.0.1 > 10.0.0.100: ICMP 10.0.0.50 unreachable - need to frag (mtu 1400)

# 用 ping 触发不同的 ICMP 错误
ping -c 1 192.0.2.1
# 如果收到 "Destination Net Unreachable" → Code 0
# 如果收到 "Destination Host Unreachable" → Code 1
# 如果什么都没收到（超时） → ICMP 被屏蔽或目标不存在

# 用 tcpdump 显示 ICMP 错误中嵌入的原始包信息
tcpdump -i eth0 -nn -vv 'icmp and icmp[0] == 3' -c 5
# -vv 会显示嵌入的原始 IP 包的细节（包括端口号）

# 基本 ping
ping -c 5 8.8.8.8
# PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
# 64 bytes from 8.8.8.8: icmp_seq=1 ttl=118 time=2.13 ms
# 64 bytes from 8.8.8.8: icmp_seq=2 ttl=118 time=2.15 ms
# 64 bytes from 8.8.8.8: icmp_seq=3 ttl=118 time=2.12 ms
# 64 bytes from 8.8.8.8: icmp_seq=4 ttl=118 time=2.14 ms
# 64 bytes from 8.8.8.8: icmp_seq=5 ttl=118 time=2.11 ms
#
# --- 8.8.8.8 ping statistics ---
# 5 packets transmitted, 5 received, 0% packet loss, time 4006ms
# rtt min/avg/max/mdev = 2.110/2.130/2.150/0.014 ms

# 用不同大小的包测试（检查 MTU 问题）
ping -s 56 -c 3 目标IP     # 默认大小
ping -s 1472 -c 3 目标IP   # 接近 MTU 上限
ping -M do -s 1472 -c 3 目标IP   # 设置 DF 位，测试路径 MTU

# 用 flood ping 做高频率测试（需要 root）
ping -f -c 1000 目标IP
# 以最快速度发送 1000 个包，看丢包率
# 注意：这会产生大量 ICMP 流量，可能触发对端的限速

# 用 -I 指定源接口（多网卡环境）
ping -I eth1 -c 3 目标IP

# 用 -t 设置 TTL（限制搜索范围）
ping -t 5 -c 3 目标IP
# 如果 TTL=5 收不到回复但 TTL=64 可以，说明目标在第 5 跳之外

# 场景 1：TTL 突然变化
# 09:00:01  ping 8.8.8.8: ttl=118
# 09:00:02  ping 8.8.8.8: ttl=118
# 09:00:03  ping 8.8.8.8: ttl=115  ← TTL 下降 3，路径变长了 3 跳
# 09:00:04  ping 8.8.8.8: ttl=115
# 这可能意味着路由器做了路径切换（failover），新路径更长

# 场景 2：用 TTL 推断操作系统
# ttl=64  → 可能是 Linux/macOS（初始 TTL=64）
# ttl=128 → 可能是 Windows（初始 TTL=128）
# ttl=255 → 可能是网络设备（路由器/交换机）
# 如果收到 ttl=52，那么 64-52=12 跳（Linux），或者 128-52=76 跳（不太可能）

# 持续监控 TTL 变化
ping 目标IP | while read line; do
    echo "$(date +%H:%M:%S) $line"
done
# 加上时间戳，方便发现 TTL 变化的时间点

# UDP 模式（默认）
traceroute -n 目标IP

# ICMP 模式
traceroute -I -n 目标IP

# TCP 模式（最能穿越防火墙）
traceroute -T -p 443 -n 目标IP

# Paris traceroute（保持同一流走同一路径，避免 ECMP 导致的路径跳变）
traceroute -n --mft 目标IP
# 或使用 paris-traceroute 工具

traceroute -n 目标IP
#  1  10.0.0.1    1.234 ms  1.123 ms  1.345 ms
#  2  10.1.0.1    5.678 ms  5.789 ms  5.456 ms
#  3  * * *
#  4  10.3.0.1    15.234 ms  15.123 ms  15.345 ms
#  5  10.4.0.1    25.678 ms  25.789 ms  25.456 ms

# 标准 traceroute 在 ECMP 网络中的问题
traceroute -n 目标IP
#  1  10.0.0.1     1 ms
#  2  10.1.0.1     5 ms   ← 路径 A 的第 2 跳
#  3  10.2.0.99   15 ms   ← 路径 B 的第 3 跳（不同路径！）
#  4  10.3.0.1    25 ms   ← 可能根本不是真实路径

# Paris traceroute 的解法：
# 保持每个 TTL 级别的探测包使用相同的流标识（五元组哈希一致）
# 这样所有探测包走同一条 ECMP 路径
traceroute --mft -n 目标IP

# 更好的方法：用 mtr 的 --mpls 选项
mtr --report -n 目标IP
# mtr 持续发送探测，统计数据可以揭示路径是否在抖动

# 用 mtr 做持续的路径质量监控（比单次 traceroute 信息量大得多）
mtr --report -c 100 -n 目标IP
# 输出示例：
# HOST                     Loss%   Snt   Last   Avg  Best  Wrst StDev
# 1. 10.0.0.1               0.0%   100    1.2   1.3   0.8   5.2   0.6
# 2. 10.1.0.1               0.0%   100    5.3   5.5   4.8   8.1   0.5
# 3. 10.2.0.1               2.0%   100   15.1  15.3  14.5  25.2   1.8
# 4. ???                   100.0%   100    0.0   0.0   0.0   0.0   0.0
# 5. 10.4.0.1               2.0%   100   25.3  25.5  24.8  35.2   1.8
# 6. 目标IP                 2.0%   100   30.1  30.3  29.5  40.2   1.8

# 解读关键：
# 第 3 跳 Loss=2% 且后续跳也是 2% → 丢包发生在第 3 跳或之前
# 第 4 跳 Loss=100% 但第 5 跳正常 → 第 4 跳只是不响应 ICMP，不是问题
# 如果第 3 跳 Loss=2% 但后续跳 Loss=0% → 第 3 跳只是 ICMP 限速，不是真正丢包

# 基本用法
mtr -n 目标IP

# 生成报告模式（适合粘贴给别人看）
mtr --report -c 200 -n 目标IP

# TCP 模式（穿越防火墙）
mtr --tcp -P 443 -n 目标IP

# UDP 模式
mtr --udp -n 目标IP

# 显示 AS 号（了解流量经过了哪些运营商网络）
mtr --aslookup -n 目标IP
# 输出会在 IP 地址前显示 AS 号，比如：
# AS15169 142.250.1.1
# 这是 Google 的 AS

# 实际运维中的 mtr 使用建议

# 发送足够多的探测包（至少 100 个），否则统计意义不大
mtr --report -c 200 -n 目标IP

# 对比不同模式的结果，可以发现路径上的过滤策略
# ICMP 模式
mtr --report -c 100 -n 目标IP > /tmp/mtr_icmp.txt
# TCP 模式
mtr --report --tcp -P 443 -c 100 -n 目标IP > /tmp/mtr_tcp.txt
# 比较两个结果
diff /tmp/mtr_icmp.txt /tmp/mtr_tcp.txt
# 如果 ICMP 模式某些跳全是 *，但 TCP 模式正常
# 说明那些跳过滤了 ICMP 但转发正常

# 指定包大小，测试 MTU 问题
mtr --report -c 50 -s 1400 -n 目标IP

# 查看 ICMP 速率限制参数
sysctl net.ipv4.icmp_ratelimit
# 默认 1000（毫秒），即每秒最多发送 1 个 ICMP 错误消息

sysctl net.ipv4.icmp_ratemask
# 控制哪些 ICMP 类型受限速影响
# 默认 6168（二进制 1100000001000），对应 Type 3, 11, 12

# 对于被探测的中间路由器：
# 如果你用 traceroute 发送大量探测包，
# 路由器可能因为 ICMP 限速而丢弃部分 Time Exceeded 回复
# 这会在 traceroute 输出中显示为部分 * 号

# 查看 ICMP 错误消息被限速丢弃的统计
nstat -z | grep -i "icmp.*ratelimit"

# 查看 iptables 中的 ICMP 规则
iptables -L -n -v | grep icmp

# 推荐的 ICMP 防火墙规则
# 允许 ping（可选，看安全需求）
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

# 必须允许的 ICMP 类型（PMTUD 和错误报告）
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT

# 禁止 ICMP Redirect（安全）
iptables -A INPUT -p icmp --icmp-type redirect -j DROP
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.send_redirects=0

# 用 TCP 连接测试端口连通性（比 ping 更有意义）
# 方法 1：nc（netcat）
nc -zv -w 3 目标IP 443
# Connection to 目标IP 443 port [tcp/https] succeeded!

# 方法 2：curl 测试 HTTP/HTTPS
curl -o /dev/null -s -w "HTTP %{http_code} in %{time_total}s\n" https://目标域名

# 方法 3：hping3（TCP/UDP ping）
hping3 -S -p 443 -c 3 目标IP
# 发送 TCP SYN 到 443 端口，测量 RTT
# 输出类似 ping，但用 TCP 而不是 ICMP

# 方法 4：TCP traceroute
traceroute -T -p 443 -n 目标IP

# 方法 5：用 ss 检查连接状态
ss -tn state established dst 目标IP

# 方法 6：nmap 端口扫描
nmap -sT -p 80,443 目标IP
# 不需要 ICMP 也能判断端口是否开放

# 检测 ICMP 隧道的方法：
# 1. 异常大的 ICMP 包（正常 ping 通常 56-64 字节数据）
tcpdump -i eth0 -nn 'icmp and (ip[2:2] > 200)' -c 5
# 抓 IP 总长度 > 200 字节的 ICMP 包

# 2. 异常频繁的 ICMP 流量
# 正常网络中 ICMP 流量占比很低（通常 < 1%）

# 3. ICMP 数据部分不是标准 ping 的时间戳模式
tcpdump -i eth0 -nn -X 'icmp[0] == 8' -c 5
# 检查 ICMP Echo Request 的 payload 内容

# 确保不会被用作 Smurf 放大器
sysctl net.ipv4.icmp_echo_ignore_broadcasts
# 1 = 忽略广播 ICMP（默认，推荐）

# === Layer 1-2: 物理层和链路层 ===
ip link show eth0
# 确认接口 UP，检查速度/双工
ethtool eth0 | grep -E "Speed|Duplex|Link detected"
# Link detected: yes 说明物理链路正常

# === Layer 3: 网络层 ===
# 检查本机 IP 配置
ip addr show eth0
# 检查路由
ip route get 目标IP
# ping 默认网关
ping -c 3 $(ip route show default | awk '{print $3}')
# ping 目标
ping -c 5 目标IP

# === Layer 4: 传输层 ===
# TCP 连接测试
nc -zv -w 3 目标IP 端口号
# 或者
hping3 -S -p 端口号 -c 3 目标IP

# === Layer 7: 应用层 ===
curl -v --connect-timeout 5 https://目标域名
# 看 DNS 解析、TCP 连接、TLS 握手、HTTP 响应的每一步耗时

# === 综合路径分析 ===
mtr --report -c 100 -n 目标IP

# 1. 空闲时 ping
ping -c 10 目标IP
# rtt avg = 5.2 ms ← 正常

# 2. 同时启动大文件下载，再次 ping
# （在另一个终端中 wget 大文件）
ping -c 10 目标IP
# rtt avg = 523.4 ms ← 延迟暴增 100 倍！

# 3. 用 mtr 定位延迟突增的位置
mtr --report -c 50 -n 目标IP
# 发现第 1 跳（本地路由器）延迟从 1ms 暴增到 400ms
# 后续跳延迟也同步增加（但跳间差值不变）

# 诊断：第 1 跳是家用路由器，内置了大缓冲区
# 当有大流量时，队列堆积导致延迟暴增
# 这就是 Bufferbloat

# 解决方案：在路由器上启用 SQM（Smart Queue Management）
# 或者使用 fq_codel / cake qdisc
tc qdisc replace dev eth0 root cake bandwidth 100mbit

# 1. 从 10.2.0.100 ping 10.1.0.50
ping -c 3 10.1.0.50
# 100% packet loss

# 2. 从 10.2.0.100 traceroute
traceroute -n 10.1.0.50
#  1  10.2.0.1     1ms     ← 本地网关
#  2  * * *
#  3  * * *

# 3. 从 10.1.0.50 ping 10.2.0.100
ping -c 3 10.2.0.100
# 0% packet loss ← 反向是通的！

# 4. 在 10.1.0.50 上抓包
tcpdump -i eth0 -nn 'src 10.2.0.100' -c 5
# 能看到 ICMP Echo Request 到达 ← 包确实到了

# 5. 检查 10.1.0.50 的路由
ip route get 10.2.0.100
# 10.2.0.100 via 10.1.0.254 ← 回程走 10.1.0.254

# 6. 检查 10.1.0.254
# 发现 10.1.0.254 没有到 10.2.0.0/24 的路由
# 回程包被丢弃

# 诊断：去程和回程走不同的路由器
# 去程：10.2.0.100 → 10.2.0.1 → 核心路由器 → 10.1.0.1 → 10.1.0.50 ✓
# 回程：10.1.0.50 → 10.1.0.254 → ???  ✗

# 解决：在 10.1.0.254 上添加路由
# ip route add 10.2.0.0/24 via <核心路由器>

# 从广州用户的机器执行 mtr
mtr --report --aslookup -c 100 -n 上海服务器IP
# 输出（简化）：
# 1. AS4134   广州电信出口    5ms
# 2. AS4134   广州核心        8ms
# 3. AS4134   北京核心       35ms    ← 绕到了北京！
# 4. AS4134   北京-上海      60ms
# 5. AS4837   上海联通入口  100ms    ← 跨运营商互联
# 6. AS4837   上海联通核心  120ms
# 7. 目标IP                200ms

# 诊断：
# 1. 广州电信 → 北京电信 → 上海联通（三角绕行）
# 2. 正常路径应该是广州电信 → 上海电信 → 上海联通
# 3. 运营商内部的路由策略导致流量绕行

# 这种问题无法在服务端解决
# 解决方案：
# - 使用 CDN 让广州用户就近接入
# - 使用多 ISP 接入，广州电信用户走电信出口
# - 联系运营商优化路由（通常不现实）

# IPv6 ping
ping6 -c 3 2001:db8::1
ping6 -c 3 fe80::1%eth0    # 链路本地需指定接口

# IPv6 traceroute
traceroute6 -n 2001:db8::1

# IPv6 mtr
mtr -6 --report -c 100 -n 2001:db8::1

# 抓 ICMPv6 包
tcpdump -i eth0 -nn icmp6 -c 20

# 用 hping3 测量去程延迟（近似方法）
# 在目标端启动抓包
tcpdump -i eth0 -nn 'icmp[0] == 8' -ttt -c 10
# -ttt 显示每个包与前一个包的时间差

# 在源端发送带时间戳的 ping
ping -c 10 -D 目标IP
# -D 在每行前打印 Unix 时间戳

# 检测路径上是否有 NAT
# 发送不同 TTL 的 ICMP 包，检查回复中嵌入的源地址
traceroute -n -I 目标IP
# 如果某一跳的 IP 地址突然从私有地址变成公网地址，
# 说明在该位置有 NAT

# 更精确的方法：比较出站 IP 和对端看到的 IP
curl -s https://httpbin.org/ip
# 返回你的公网 IP
# 与 ip addr show 的本机 IP 对比，如果不同说明有 NAT

# 用 fping 批量 ping 多个目标
fping -c 10 -q 10.0.0.1 10.0.0.2 10.0.0.3
# 输出每个目标的丢包率和延迟统计

# fping 从文件读取目标列表
cat > targets.txt << 'EOF'
10.0.0.1
10.0.0.2
10.0.0.3
8.8.8.8
EOF
fping -c 20 -q -f targets.txt
# 10.0.0.1 : xmt/rcv/%loss = 20/20/0%, min/avg/max = 0.5/0.8/1.2
# 10.0.0.2 : xmt/rcv/%loss = 20/18/10%, min/avg/max = 1.2/5.3/45.1
# 10.0.0.3 : xmt/rcv/%loss = 20/20/0%, min/avg/max = 0.6/0.9/1.5
# 8.8.8.8  : xmt/rcv/%loss = 20/20/0%, min/avg/max = 8.1/10.2/12.3

# 用 Smokeping 做长期路径质量监控
# Smokeping 会持续 ping 目标并生成延迟/丢包的时序图
# 可以发现间歇性的网络质量下降

# 用 Prometheus Blackbox Exporter 做 ICMP 探针
# 配置示例（probe.yml）：
# modules:
#   icmp:
#     prober: icmp
#     timeout: 5s
# 可以告警丢包率超过阈值

#!/bin/bash
# network-watchdog.sh — 检测到丢包时自动收集诊断信息
TARGET="${1:?用法: $0 <目标IP>}"
LOSS_THRESHOLD=5       # 丢包率阈值（%）
INTERVAL=30            # 检测间隔（秒）
LOG_DIR="/var/log/network-diag"
mkdir -p "$LOG_DIR"

while true; do
    # 发送 10 个 ping，提取丢包率
    RESULT=$(ping -c 10 -W 2 "$TARGET" 2>&1)
    LOSS=$(echo "$RESULT" | grep -oP '\d+(?=% packet loss)')

    if [ "$LOSS" -ge "$LOSS_THRESHOLD" ]; then
        TIMESTAMP=$(date +%Y%m%d_%H%M%S)
        echo "[${TIMESTAMP}] 检测到 ${LOSS}% 丢包，开始收集诊断数据..."

        # 收集多维度诊断数据
        {
            echo "=== PING 结果 ==="
            echo "$RESULT"

            echo ""
            echo "=== MTR 报告 ==="
            mtr --report -c 50 -n "$TARGET"

            echo ""
            echo "=== 路由表 ==="
            ip route get "$TARGET"

            echo ""
            echo "=== 网络接口统计 ==="
            ip -s link show

            echo ""
            echo "=== conntrack 状态 ==="
            cat /proc/sys/net/netfilter/nf_conntrack_count 2>/dev/null
            cat /proc/sys/net/netfilter/nf_conntrack_max 2>/dev/null

            echo ""
            echo "=== TCP 连接统计 ==="
            ss -s
        } > "${LOG_DIR}/diag_${TIMESTAMP}.txt"

        echo "诊断数据已保存到 ${LOG_DIR}/diag_${TIMESTAMP}.txt"
    fi

    sleep "$INTERVAL"
done

# 问题：Pod 内的 ping 可能因为网络策略被限制
# 诊断 Pod 网络连通性的正确方法

# 1. 进入 Pod 执行 ping
kubectl exec -it <pod-name> -- ping -c 3 <目标IP>
# 如果 Pod 没有 ping 命令，用 nsenter 从节点进入
# 先找到 Pod 的 PID
PID=$(docker inspect --format '{{.State.Pid}}' <container-id>)
nsenter -t "$PID" -n ping -c 3 <目标IP>

# 2. 检查 NetworkPolicy 是否放行 ICMP
kubectl get networkpolicy -A -o yaml | grep -A5 'icmp'

# 3. 在节点上抓取 Pod 对应 veth 的 ICMP 包
# 先找到 Pod 的 veth
ip link | grep <pod-ip-最后几位>
# 或者通过 ifindex
nsenter -t "$PID" -n cat /sys/class/net/eth0/iflink
# 假设 iflink=15
ip link | grep '^15:'
# 输出: 15: cali8a2b3c4d@if4: ...
tcpdump -i cali8a2b3c4d -nn icmp -c 20

# 4. Calico/Cilium 的 ICMP 策略
# Calico 默认允许 ICMP
# 但如果启用了 DefaultDeny，需要显式放行：
# apiVersion: projectcalico.org/v3
# kind: GlobalNetworkPolicy
# spec:
#   ingress:
#   - action: Allow
#     protocol: ICMP