1、100.0.0.16/28 对应网段的网关地址、广播地址、可分配IP地址范围

    十进制28位子网掩码对应二进制子网掩码 255.255.255.240

    广播地址：100.0.0.31/28

    可分配ip地址范围：100.0.0.16 -- 100.0.0.31

    可分配16个子网

    网关地址：在学路由交换的时候一般都会将有效ip地址范围最后一个地址设置为网关地址，即100.0.0.30

 100.0.0.16为主机地址，100.0.0.31为广播地址，所以有效的ip地址范围为 100.0.0.17-100.0.0.30

2、使用man手册学习tcpdump的使用

（1）概述

tcpdump是用来抓取网络包内容描述信息的工具，根据使用者的定义对网络上的数据包进行截获的包分析工具，tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

（2）实用命令实例

默认启动

# tcpdump

普通情况下，直接启动tcpdump将监视第一个网络接口上所流过的数据包。

监视指定网络接口的数据包

# tcpdump -i eth1

如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0

监视指定主机的数据包

打印所有进入或离开HOSTNAME的数据包

# tcpdump host HOSTNAME

也可以指定ip，例如截获所有172.16.10.10的主机收到的和发出的所有的数据包

# tcpdump host 172.16.10.10

截获主机172.16.10.10和主机172.16.10.6或172.16.10.100的通信

# tcpdump host 172.16.10.10 and \( 172.16.10.6 or 172.16.100 \)

打印centos与xingxinchao或者redhat之间通信的数据包

# tcpdump host centos and \( xingxinchao or redhat \)

打印ace与任何其它主机之间通信的ip数据包，但不包括helios之间的数据包

# tcpdump ip host ace and not helios

监视所有送到主机hostname的数据包

# tcpdump -i eth0 dst host hostname

监视指定主机和端口的数据包

如果想要获取主机210.27.48.1接受或发出的telnet包，使用如下命令

# tcpdump tcp port 23 and host 210.27.48.1

对本机的udp 123端口进行监视 123位ntp的服务端口

# tcpdump udp port 23

常用选项：

（1）tcp：ip、icmp、arp、rarp、tcp、udp这些选项等都要放到第一个参数的位置，用来过滤数据的类型

（2）-i eth0：只抓指定的接口eth0的数据包

（3）-t：不显示时间戳

（4）-s 0：抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包

（5）-c 100：只抓取指定的100个数据包

（6）dst port ！ 22：不抓取目标端口是22的数据包

（7）src net 192.168.1.0/24：数据包的源网络地址为192.168.1.0/24

（8）-w ./target.cap：保存成cap文件，方便用wireshark分析

3、详细叙述僵尸进程产生的原因以及危害

（1）什么是僵尸进程

当子进程（child process）先于父进程（parent process）退出，但是父进程没有调用wait/waitpid回收子进程的资源，则子进程变成僵尸进程。但是如果该进程的父进程已经结束，那该进程就不会变成僵尸进程，因为每个进程结束的时候，系统会扫描所有运行中的进程，看看有没有哪个进程是刚刚结束的子进程，如果有就由init来接管它，成为它的父进程。

（2）危害

如果父进程不调用wait/waitpid，则子进程的保留信息不回被释放，造成内核资源的无法回收，同时进程号会一直被占用，系统所能使用的进程号是有限的，大量的产生僵尸进程将会导致系统不能产生新的进程。

（3）怎么避免僵尸进程

防止的办法是当父进程fork一个子进程后，必须通过wait/waitpid等函数等待子进程结束，但这会导致父进程挂起，所以通常的做法使用signal函数为SIGCHLD安装handler，在handler函数中调用wait/waitpid函数进行回收

4、详细说明vmstat输出结果的含义

[root@localhost ~]# vmstat

procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu-----

r  b  swpd  free  buff  cache  si  so    bi    bo  in  cs us sy id wa st

1  0      0 3533764  2084 172880    0    0    3    0  18  16  0  0 100  0  0

（1）procs：（进程相关信息）

        r：运行和等待运行的进程个数，cpu上等待运行的任务的队列长度

        b：处于不可中断睡眠状态的进程个数；被阻塞的任务队列长度

（2）memory：（内存相关信息）

        swad：虚拟内存使用量

        free：物理内存使用量

        buffer：用于buffer的内存总量

        cache：用于cache的内存总量

 （3）swap：（交换分区信息）

            si：数据进入swap中的数据速率（KB/s）

            so：数据离开swap的速率（KB/s）

    （4）io：io相关信息

            bi：从块设备读入数据到系统的速率（KB/s）

            bo：保存数据至块设备的速率（KB/s）

    （5）system：（内核相关信息）

            in：每秒产生的中断数量

            cs：context switch，每秒上下文切换速率（数量）

       （6）cpu：cpu时间相关信息

            us：user space，用户空间占用CPU的时间百分比

            sy：system，内核空间占用cpu的时间百分比

            id：空闲时间百分比*（2.5.41之前，还包含等待io的时间）

            wa：等待io的时间百分比（2.5.41之前，被包含在id时间里）

            st：被虚拟机偷走的时间（2.6.11之后才有）