tcpdump實驗分析

原創 库昊天 2019-05-13 21:15

實驗準備

  1. 安裝nc工具:yum install nc
  2. 監聽本地網卡流量:tcpdump -i lo -n -nn tcp port 8888
  3. 建立TCP/UDP連接:nc -p 1234 10.96.78.213 8888

數據包分析

  • 14:07:53.220954爲時間戳,精確到微妙,加-t不顯示時間;
  • 10.96.78.213.1234含義:10.96.78.213爲IP,1234爲端口,加-n -nn顯示IP,默認顯示域名或hostname;
  • 10.96.78.213.1234 > 10.96.78.213.8888 爲數據流向;
  • Flags含義:S(SYN請求) . (ACK確認包) P(消息發送) F(FIN包,表示正常關閉連接,沒有數據丟失) R(RST包,表示強制關閉連接,可能丟失數據)
  • win 342爲華東窗口大小;
  • length 0爲數據包大小;
//建立TCP連接
14:07:53.220954 IP 10.96.78.213.1234 > 10.96.78.213.8888: Flags [S], seq 1057661546, win 43690, options [mss 65495,sackOK,TS val 1879360564 ecr 0,nop,wscale 7], length 0
14:01:06.103599 IP 10.96.78.213.8888 > 10.96.78.213.1234: Flags [S.], seq 2496367938, ack 1057661547, win 43690, options [mss 65495,sackOK,TS val 1879360564 ecr 1879360564,nop,wscale 7], length 0
14:07:53.221003 IP 10.96.78.213.1234 > 10.96.78.213.8888: Flags [.], ack 1, win 342, options [nop,nop,TS val 1879360564 ecr 1879360564], length 0

//客戶端發送請求
14:08:18.802016 IP 10.96.78.213.1234 > 10.96.78.213.8888: Flags [P.], seq 1:7, ack 1, win 342, options [nop,nop,TS val 1879386145 ecr 1879360564], length 6
14:08:18.802041 IP 10.96.78.213.8888 > 10.96.78.213.1234: Flags [.], ack 7, win 342, options [nop,nop,TS val 1879386145 ecr 1879386145], length 0
//服務端發送響應
14:08:18.802683 IP 10.96.78.213.8888 > 10.96.78.213.1234: Flags [P.], seq 1:107, ack 7, win 342, options [nop,nop,TS val 1879386146 ecr 1879386145], length 106
14:08:18.802695 IP 10.96.78.213.1234 > 10.96.78.213.8888: Flags [.], ack 107, win 342, options [nop,nop,TS val 1879386146 ecr 1879386146], length 0

//服務端主動關閉連接
14:08:18.802800 IP 10.96.78.213.8888 > 10.96.78.213.1234: Flags [F.], seq 107, ack 7, win 342, options [nop,nop,TS val 1879386146 ecr 1879386146], length 0
14:08:18.842051 IP 10.96.78.213.1234 > 10.96.78.213.8888: Flags [.], ack 108, win 342, options [nop,nop,TS val 1879386186 ecr 1879386146], length 0
//客戶端主動關閉連接
14:20:49.874086 IP 10.96.78.213.1234 > 10.96.78.213.8888: Flags [F.], seq 7, ack 108, win 342, options [nop,nop,TS val 1880137218 ecr 1879386146], length 0
//客戶端強制關閉連接
14:20:49.874107 IP 10.96.78.213.8888 > 10.96.78.213.1234: Flags [R], seq 2496368046, win 0, length 0

參考:

  1. nc使用:https://www.ifmicro.com/記錄/2017/12/12/netcat-usage/
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

net.ipv4.tcp_syn_retries

驗證 net.ipv4.tcp_syn_retries: node2:/root/test#sysctl -p |grep -i syn error: "net.bridge.bridge-nf-call-ip6tables" is

zhaoyangjian724 2020-07-07 14:33:18

接收窗口大小

發送窗口與接收窗口 一個非常容易混淆的概念是「發送窗口」和「接收窗口」,很多人會認爲接收窗口就是發送窗口。 先來問一個問題,wireshark 抓包中顯示的 win=29312 指的是「發送窗口」的大小嗎? 當然不是的,其實這裏

zhaoyangjian724 2020-07-07 14:33:18

java進階篇--TCP 爲什麼需要三次握手?

TCP 協議是我們每天都在使用的一個網絡通訊協議,因爲絕大部分的網絡連接都是建立在 TCP 協議上的,比如你此刻正在看的這篇文章是建立在 HTTP(Hypertext Transfer Protocol,超文本傳送協議) 應用層協議的基礎

爱分享的淘金达人 2020-07-06 23:59:46

11.3 TCP內核同步

11.3.1 鎖的結構         由2.1 Socket系統調用我們知道,一個TCP socket在內核有一個數據結構,這個數據結構是不能被兩個及其以上的使用者同時訪問的,否則就會由於數據不一致導致嚴重的問題。在Linux中,TC

Remy1119 2020-07-05 08:06:25

10.2 發送緩存管理

        應用進程使用TCP發送的數據會先放入發送緩存中,TCP的發送緩存是一個skb隊列。這個隊列存在的意義是:保證應用進程交付TCP的數據能夠可靠地交付目的端。在收到對端的ACK之前,發送緩存中的數據不能刪除。 10.2.1 使

Remy1119 2020-07-05 07:23:50

9.6 堅持(Persist)定時器

9.6.1 Why          數據發送方收到接收方的通告窗口爲0時,就不能再發送數據,一直等到對方發送窗口更新爲止。但對端發送的窗口更新報文可能會丟失,如果發送方只是等待的話會導致數據傳輸會一直停滯,最後連接會被斷開。這時堅持定時

Remy1119 2020-07-05 07:23:50

12.2 擁塞控制簡介

12.1.1 擁塞控制的作用        網絡的帶寬是有限的,如果到達通信子網中某一部分的包數量過多,使得該部分網絡來不及處理,以致引起這部分乃至整個網絡性能下降的現象,嚴重時甚至會導致網絡通信業務陷入停頓, 這種現象就是網絡擁塞。如果

Remy1119 2020-07-05 07:23:50

9.5 尾部丟失探測(Tail Loss Probe)定時器

9.5.1 Why         在9.4節中,我們瞭解到如果擁塞窗口較小且數據的最後一段數據丟失時,快速重傳算法會因爲無法收到足夠數量的ACK而無法及時重傳丟失的報文。尾部丟失探測(Tail Loss Probe)定時器就是爲了解決這

Remy1119 2020-07-05 07:23:50

net.ipv4.tcp_tw_reuse = 1 重用time_wait

net.ipv4.tcp_tw_reuse = 1 開啓tcp_tw_reuse net.ipv4.ip_local_port_range = 50001 50001 node2:/root/test#python connect

zhaoyangjian724 2020-07-03 11:46:34

tcp_fin_timeout

node2:/root/test#sysctl -w net.ipv4.tcp_fin_timeout="1" net.ipv4.tcp_fin_timeout = 1 node2:/root/test#time python clos

zhaoyangjian724 2020-07-03 11:46:34

net.ipv4.tcp_max_tw_buckets=10

這個參數表示操作系統允許TIME_WAIT套接字數量的最大值, 如果超過這個數字,TIME_WAIT套接字將立刻被清除並打印警告信息。 該參數默認爲 180000,過多的TIME_WAIT套接字會使Web服務器變慢。 node2:/r

zhaoyangjian724 2020-07-03 11:46:34

程序停掉close_wait立馬回收

node1:/root#netstat -na | grep 8080 tcp 0 0 192.168.137.2:8080 0.0.0.0:* LISTEN

zhaoyangjian724 2020-07-03 11:46:34

模擬半連接佔滿

半連接: 半連接隊列(Incomplete connection queue),又稱 SYN 隊列 全連接隊列(Completed connection queue),又稱 Accept 隊列 服務端 node1:/root/te

zhaoyangjian724 2020-07-03 11:46:34

【TCP協議】(2)---TCP三次握手和四次揮手

TCP有6種標示:SYN(建立聯機) ACK(確認) PSH(傳送) FIN(結束) RST(重置) URG(緊急)  一、TCP三次握手                            第一次握手       客戶端向服務器發出

gaoqiang1112 2020-06-28 08:21:47

數據包設置了不允許分片

node2:/root/test#python test8080.py 1461 The big message was sent! Your network supports really big packets! 發送長度爲14

zhaoyangjian724 2020-06-25 11:41:48