name: dns-networking
description: 调试 DNS 解析与网络连接性问题。适用于排查 DNS 故障、测试端口连通性、诊断防火墙规则、使用 curl 详细模式检查 HTTP 请求、配置 /etc/hosts,或调试代理与证书问题。
metadata: {"clawdbot":{"emoji":"🌐","requires":{"anyBins":["dig","nslookup","curl","ping","nc"]},"os":["linux","darwin","win32"]}}
调试 DNS 解析、网络连通性及 HTTP 问题。涵盖 dig/nslookup、端口测试、防火墙规则、curl 诊断、/etc/hosts、代理配置与证书故障排除。
# A 记录(IP 地址)
dig example.com
dig +short example.com
# 查询特定记录类型
dig example.com MX # 邮件服务器
dig example.com CNAME # 别名
dig example.com TXT # 文本记录(SPF、DKIM 等)
dig example.com NS # 域名服务器
dig example.com AAAA # IPv6 地址
dig example.com SOA # 起始授权机构
# 查询特定 DNS 服务器
dig @8.8.8.8 example.com
dig @1.1.1.1 example.com
# 追踪完整解析路径
dig +trace example.com
# 反向查找(IP → 主机名)
dig -x 93.184.216.34
# nslookup(更简单,通用)
nslookup example.com
nslookup example.com 8.8.8.8 # 查询特定服务器
nslookup -type=MX example.com
# host(最简单)
host example.com
host -t MX example.com
# 查询多个公共 DNS 服务器
for dns in 8.8.8.8 1.1.1.1 9.9.9.9 208.67.222.222; do
echo -n "$dns: "
dig +short @"$dns" example.com
done
# 检查 TTL(生存时间)
dig example.com | grep -E '^\S+\s+\d+\s+IN\s+A'
# 数字即为 TTL(秒)
# 检查 /etc/resolv.conf(系统使用的 DNS 服务器)
cat /etc/resolv.conf
# 检查 /etc/hosts(本地覆盖)
cat /etc/hosts
# 刷新 DNS 缓存
# macOS:
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
# Linux(systemd-resolved):
sudo systemd-resolve --flush-caches
# Windows:
ipconfig /flushdns
# 检查 systemd-resolved 是否运行(Linux)
resolvectl status
# /etc/hosts — 本地 DNS 覆盖(无 TTL,立即生效)
# 将域名指向本地(用于开发)
127.0.0.1 myapp.local
127.0.0.1 api.myapp.local
# 屏蔽域名
0.0.0.0 ads.example.com
# 测试迁移(在 DNS 变更前将域名指向新服务器)
203.0.113.50 example.com
203.0.113.50 www.example.com
# 一个 IP 对应多个名称
192.168.1.100 db.local redis.local cache.local
# nc(netcat)— 最可靠
nc -zv example.com 443
nc -zv -w 5 example.com 80 # 5 秒超时
# 测试多个端口
for port in 22 80 443 5432 6379; do
nc -zv -w 2 example.com $port 2>&1
done
# /dev/tcp(bash 内置,无需额外工具)
timeout 3 bash -c 'echo > /dev/tcp/example.com/443' && echo "开放" || echo "关闭"
# curl(同时测试 HTTP)
curl -sI -o /dev/null -w "%{http_code}" https://example.com
# 在 Docker 容器内测试
docker exec my-container nc -zv db 5432
# traceroute(显示网络跳数)
traceroute example.com
# mtr(持续追踪并统计 — 最适合定位丢包)
mtr example.com
mtr -r -c 20 example.com # 报告模式,20 个数据包
# ping
ping -c 5 example.com
# 显示本地网络接口
ip addr show # Linux
ifconfig # macOS / 旧版 Linux
# 显示路由表
ip route show # Linux
netstat -rn # macOS
route -n # Linux(旧版)
# 哪些端口正在被监听(Linux)
ss -tlnp
ss -tlnp | grep :8080
# macOS
lsof -i -P -n | grep LISTEN
lsof -i :8080
# 旧版 Linux
netstat -tlnp
netstat -tlnp | grep :8080
# 哪个进程在使用端口
lsof -i :3000
fuser 3000/tcp # Linux
# 完整详细输出(头部、TLS 握手、时间)
curl -v https://api.example.com/endpoint
# 显示时间细分
curl -o /dev/null -s -w "
DNS 解析: %{time_namelookup}s
连接建立: %{time_connect}s
TLS 握手: %{time_appconnect}s
首字节时间: %{time_starttransfer}s
总耗时: %{time_total}s
状态码: %{http_code}
下载大小: %{size_download} 字节
" https://api.example.com/endpoint
# 仅显示响应头
curl -sI https://api.example.com/endpoint
# 跟随重定向并显示每一跳
curl -sIL https://example.com
# 将域名解析到特定 IP(绕过 DNS)
curl --resolve example.com:443:203.0.113.50 https://example.com
# 使用特定网络接口
curl --interface eth1 https://example.com
# 使用不同 HTTP 版本测试
curl --http1.1 https://example.com
curl --http2 https://example.com
# 使用特定 TLS 版本测试
curl --tlsv1.2 https://example.com
curl --tlsv1.3 https://example.com
# 忽略证书错误(仅用于调试)
curl -k https://self-signed.example.com
# 发送带自定义 Host 头的请求(虚拟主机)
curl -H "Host: example.com" https://203.0.113.50/
# 测试 CORS 预检请求
curl -X OPTIONS -H "Origin: http://localhost:3000" \
-H "Access-Control-Request-Method: POST" \
-v https://api.example.com/endpoint
# 列出所有规则
sudo iptables -L -n -v
# 允许 80 端口入站
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 允许特定 IP 入站
sudo iptables -A INPUT -s 203.0.113.0/24 -p tcp --dport 22 -j ACCEPT
# 阻止端口入站
sudo iptables -A INPUT -p tcp --dport 3306 -j DROP
# 保存规则(重启后持久化)
sudo iptables-save > /etc/iptables/rules.v4
# 启用
sudo ufw enable
# 允许/拒绝
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow from 203.0.113.0/24 to any port 22
sudo ufw deny 3306
# 检查状态
sudo ufw status verbose
# 重置所有规则
sudo ufw reset
# 检查状态
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate
# 启用
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on
# 允许应用程序
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --add /usr/local/bin/myapp
# 为大多数 CLI 工具设置代理
export HTTP_PROXY=http://proxy.example.com:8080
export HTTPS_PROXY=http://proxy.example.com:8080
export NO_PROXY=localhost,127.0.0.1,.internal.example.com
# 专为 curl 设置
export http_proxy=http://proxy.example.com:8080 # 小写也可用
# 带认证的代理
export HTTPS_PROXY=http://user:password@proxy.example.com:8080
# curl 显式指定代理
curl -x http://proxy.example.com:8080 https://httpbin.org/ip
# SOCKS 代理
curl --socks5 localhost:1080 https://httpbin.org/ip
# 验证通过代理的外部 IP
curl -x http://proxy:8080 https://httpbin.org/ip
curl https://httpbin.org/ip # 与直连对比
# 测试代理连通性
curl -v -x http://proxy:8080 https://example.com 2>&1 | grep -i "proxy\|connect"
# Node.js fetch/undici 不遵循 HTTP_PROXY 环境变量
# 请使用 undici 的 ProxyAgent 或配合 http-proxy-agent 的 node-fetch
# Git 通过代理
git config --global http.proxy http://proxy:8080
git config --global https.proxy http://proxy:8080
# 移除代理设置:
git config --global --unset http.proxy
# npm 通过代理
npm config set proxy http://proxy:8080
npm config set https-proxy http://proxy:8080
# pip 通过代理
pip install --proxy http://proxy:8080 package-name
# 检查服务器证书
echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | \
openssl x509 -noout -subject -issuer -dates
# 检查过期时间
echo | openssl s_client -connect example.com:443 2>/dev/null | \
openssl x509 -noout -enddate
# 下载证书链
openssl s_client -showcerts -connect example.com:443 < /dev/null 2>/dev/null | \
awk '/BEGIN CERT/,/END CERT/' > chain.pem
# 根据 CA 包验证证书
openssl verify -CAfile /etc/ssl/certs/ca-certificates.crt server.pem
# 检查特定主机名的证书(SNI)
openssl s_client -connect cdn.example.com:443 -servername cdn.example.com
# 常见错误:"certificate has expired"
# 检查服务器日期:
date
# 如果系统时钟错误,证书将显示无效
#!/bin/bash
# net-check.sh — 快速网络诊断
TARGET="${1:?用法: net-check.sh <主机名> [端口]}"
PORT="${2:-443}"
echo "=== 网络检查: $TARGET:$PORT ==="
echo -n "DNS 解析: "
IP=$(dig +short "$TARGET" | head -1)
[[ -n "$IP" ]] && echo "$IP" || echo "失败"
echo -n "Ping: "
ping -c 1 -W 3 "$TARGET" > /dev/null 2>&1 && echo "正常" || echo "失败(可能被阻止)"
echo -n "端口 $PORT: "
nc -zv -w 5 "$TARGET" "$PORT" 2>&1 | grep -q "succeeded\|open" && echo "开放" || echo "关闭/被过滤"
if [[ "$PORT" == "443" || "$PORT" == "8443" ]]; then
echo -n "TLS: "
echo | openssl s_client -connect "$TARGET:$PORT" -servername "$TARGET" 2>/dev/null | \
grep -q "Verify return code: 0" && echo "有效" || echo "无效/错误"
echo -n "证书过期时间: "
echo | openssl s_client -connect "$TARGET:$PORT" 2>/dev/null | \
openssl x509 -noout -enddate 2>/dev/null | sed 's/notAfter=//'
fi
echo "=== 完成 ==="
dig +short 是从命令行检查 DNS 最快的方式。使用 @8.8.8.8 可绕过本地缓存。nc -zv 是最简单的端口连通性测试。如果 nc 不可用,可使用 bash 的 /dev/tcp。-w 格式字符串配合时间变量是诊断慢速 HTTP 请求最快的方法:DNS 解析、连接建立、TLS 握手和首字节时间都清晰可见。dig 检查当前 TTL。/etc/hosts 的变更立即生效(无 TTL,无传播延迟)。可在更改 DNS 前用它来测试域名迁移。nc 验证端口是否开放,然后用 ss -tlnp 或 lsof -i 检查服务是否实际在监听。mtr 比 traceroute 更适合诊断丢包 — 它持续运行并显示每跳的丢包百分比。requests 及许多库不会自动使用 HTTP_PROXY 环境变量。请查阅各工具的代理文档。