linux tcpdump抓取HTTP包的详细解释
<p><strong>tcpdump</strong></p><p>tcpdump是linux系统自带的抓包工具,主要通过命令行的方式,比较适合在线上服务器进行抓包操作,如果是windows或者ubuntu完全可 以选择一些图形化的工具,ubuntu比较推荐用wireshark,安装方式很简单sudo apt一下即可。</p>
<p>命令行格式:<br />
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ]<br />
<br />
常用的参数:<br />
-l 使标准输出变为缓冲行形式;<br />
-n 不把网络地址转换成名字;</p>
<p>-c 在收到指定的包的数目后,tcpdump就会停止;<br />
-i 指定监听的网络接口;(如果没有指定可能在默认网卡上监听,需要指定绑定了特定IP的网卡)<br />
-w 直接将包写入文件中,并不分析和打印出来;<br />
-s 指定记录package的大小,常见 -s 0 ,代表最大值65535,一半linux传输最小单元MTU为1500,足够了<br />
-X 直接输出package data数据,默认不设置,只能通过-w指定文件进行输出</p>
<p><strong>常用表达式:</strong></p>
<p>关于类型的关键字,主要包括host,net,port<br />
传输方向的关键字,主要包括src , dst ,dst or src, dst and src<br />
协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型<br />
逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'||'<br />
其他重要的关键字如下:gateway, broadcast,less,greater</p>
<p>实际例子:</p>
<p><strong>1. http数据包抓取 (直接在终端输出package data)</strong></p>
<blockquote>
<p>tcpdump tcp port 80 -n -X -s 0 指定80端口进行输出</p>
</blockquote>
<p><strong>2. 抓取http包数据指定文件进行输出package</strong></p>
<blockquote>
<p>tcpdump tcp port 80 -n -s 0 -w /tmp/tcp.cap</p>
</blockquote>
<p>对应的/tmp/tcp.cap基本靠肉眼已经能看一下信息,比如http Header , content信息等</p>
<p><strong>3. 结合管道流</strong></p>
<blockquote>
<p>tcpdump tcp port 80 -n -s 0 -X -l | grep xxxx</p>
</blockquote>
<p>这样可以实时对数据包进行字符串匹配过滤</p>
<p><strong>4. mod_proxy反向代理抓包</strong></p>
<p>线上服务器apache+jetty,通过apache mod_proxy进行一个反向代理,80 apache端口, 7001 jetty端口</p>
<p>apache端口数据抓包: tcpdump tcp port 80 -n -s 0 -X -i eth0 注意:指定eth0网络接口<br />
jetty端口数据抓包: tcpdump tcp port 7001 -n -s 0 -X -i lo 注意:指定Loopback网络接口</p>
<p>5. 只监控特定的ip主机<br />
tcpdump tcp host 10.16.2.85 and port 2100 -s 0 -X <br />
需要使用tcp表达式的组合,这里是host指示只监听该ip</p>
<p><strong>小技巧:</strong></p>
<p>1. 可结合tcpdump(命令) + wireshark(图形化)</p>
<p>操作: </p>
<p>在服务器上进行tcpdump -w /tmp/tcp.cap 指定输出外部文件<br />
scp /tmp/tcp.cap 拷贝文件到你本地<br />
wireshark & 启动wireshark<br />
通过 File -> Open 打开拷贝下来的文件,这样就可以利用进行数据包分析了<br />
剩下来的事就非常方便了</p>
<p>tcpdump -XvvennSs 0 -i eth0 tcp=0x4745 or tcp=0x4854</p>
<p>0x4745 为"GET"前两个字母"GE"</p>
<p>0x4854 为"HTTP"前两个字母"HT"</p>
<p>说明: 通常情况下:一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手</p>
<p><strong>里面的几个概念:</strong></p>
<ul>
<li>SYN: (同步序列编号,Synchronize Sequence Numbers)</li>
<li>ACK: (确认编号,Acknowledgement Number)</li>
<li>FIN: (结束标志,FINish)</li>
</ul>
<p><strong>TCP三次握手(创建 OPEN)</strong></p>
<ul>
<li>客户端发起一个和服务创建TCP链接的请求,这里是SYN(J)</li>
<li>服务端接受到客户端的创建请求后,返回两个信息: SYN(K) + ACK(J+1)</li>
<li>客户端在接受到服务端的ACK信息校验成功后(J与J+1),返回一个信息:ACK(K+1)</li>
<li>服务端这时接受到客户端的ACK信息校验成功后(K与K+1),不再返回信息,后面进入数据通讯阶段</li>
</ul>
<p><strong>数据通讯</strong></p>
<ul>
<li>客户端/服务端 read/write数据包</li>
</ul>
<p><strong>TCP四次握手(关闭 finish)</strong></p>
<ul>
<li>客户端发起关闭请求,发送一个信息:FIN(M)</li>
<li>服务端接受到信息后,首先返回ACK(M+1),表明自己已经收到消息。</li>
<li>服务端在准备好关闭之前,最后发送给客户端一个 FIN(N)消息,询问客户端是否准备好关闭了</li>
<li>客户端接受到服务端发送的消息后,返回一个确认信息: ACK(N+1)</li>
<li>最后,服务端和客户端在双方都得到确认时,各自关闭或者回收对应的TCP链接。</li>
</ul>
<p><strong>详细的状态说明(以及linux相关参数调整)</strong></p>
<ol>
<li>SYN_SEND
<ul>
<li>客户端尝试链接服务端,通过open方法。也就是TCP三次握手中的第1步之后,注意是客户端状态</li>
<li>sysctl -w net.ipv4.tcp_syn_retries = 2 ,做为客户端可以设置SYN包的重试次数,默认5次(大约180s)引用校长的话:仅仅重试2次,现代网络够了</li>
</ul>
</li>
<li>SYN_RECEIVED
<ul>
<li>服务接受创建请求的SYN后,也就是TCP三次握手中的第2步,发送ACK数据包之前</li>
<li>注意是服务端状态,一般15个左右正常,如果很大,怀疑遭受SYN_FLOOD攻击</li>
<li>sysctl -w net.ipv4.tcp_max_syn_backlog=4096 , 设置该状态的等待队列数,默认1024,调大后可适当防止syn-flood,可参见man 7 tcp</li>
<li>sysctl -w net.ipv4.tcp_syncookies=1 , 打开syncookie,在syn backlog队列不足的时候,提供一种机制临时将syn链接换出</li>
<li>sysctl -w net.ipv4.tcp_synack_retries = 2 ,做为服务端返回ACK包的重试次数,默认5次(大约180s)引用校长的话:仅仅重试2次,现代网络够了</li>
</ul>
</li>
<li>ESTABLISHED
<ul>
<li>客户端接受到服务端的ACK包后的状态,服务端在发出ACK在一定时间后即为ESTABLISHED</li>
<li>sysctl -w net.ipv4.tcp_keepalive_time = 1200 ,默认为7200秒(2小时),系统针对空闲链接会进行心跳检查,如果超过net.ipv4.tcp_keepalive_probes * net.ipv4.tcp_keepalive_intvl = 默认11分,终止对应的tcp链接,可适当调整心跳检查频率</li>
<li>目前线上的监控 waring:600 , critial : 800</li>
</ul>
</li>
<li>FIN_WAIT1
<ul>
<li>主动关闭的一方,在发出FIN请求之后,也就是在TCP四次握手的第1步</li>
</ul>
</li>
<li>CLOSE_WAIT
<ul>
<li>被动关闭的一方,在接受到客户端的FIN后,也就是在TCP四次握手的第2步</li>
</ul>
</li>
<li>FIN_WAIT2
<ul>
<li>主动关闭的一方,在接受到被动关闭一方的ACK后,也就是TCP四次握手的第2步</li>
<li>sysctl -w net.ipv4.tcp_fin_timeout=30, 可以设定被动关闭方返回FIN后的超时时间,有效回收链接,避免syn-flood.</li>
</ul>
</li>
<li>LASK_ACK
<ul>
<li>被动关闭的一方,在发送ACK后一段时间后(确保客户端已收到),再发起一个FIN请求。也就是TCP四次握手的第3步</li>
</ul>
</li>
<li>TIME_WAIT
<ul>
<li>主动关闭的一方,在收到被动关闭的FIN包后,发送ACK。也就是TCP四次握手的第4步</li>
<li>sysctl -w net.ipv4.tcp_tw_recycle = 1 , 打开快速回收TIME_WAIT,Enabling this option is not recommended since this causes problems when working with NAT (Network Address Translation)</li>
<li>sysctl -w net.ipv4.tcp_tw_reuse =1, 快速回收并重用TIME_WAIT的链接, 貌似和tw_recycle有冲突,不能重用就回收?</li>
<li>net.ipv4.tcp_max_tw_buckets: 处于time_wait状态的最多链接数,默认为180000.</li>
</ul>
</li>
</ol>
<p><strong>相关说明</strong></p>
<ul>
<li>主动关闭方在接收到被动关闭方的FIN请求后,发送成功给对方一个ACK后,将自己的状态由FIN_WAIT2修改为TIME_WAIT,而必须 再等2倍的MSL(Maximum Segment Lifetime,MSL是一个数据报在internetwork中能存在的时间)时间之后双方才能把状态 都改为CLOSED以关闭连接。目前RHEL里保持TIME_WAIT状态的时间为60秒</li>
<li>keepAlive策略可以有效的避免进行三次握手和四次关闭的动作</li>
</ul>
<p>其他网络重要参数</p>
<p>net.ipv4.tcp_rmem 参数</p>
<p>默认值: min=4096 default=87380 max=4194304<br />
</p>
<p>net.ipv4.tcp_wmem 参数</p>
<p>默认值: min=4096 default=16384 max=4194304</p>
頁:
[1]