linux tcpdump抓取HTTP包的详细解释

2022-07-20 20:23:15 网络知识 官方管理员

221|0条评论

tcpdump

tcpdump是linux系统自带的抓包工具，主要通过命令行的方式，比较适合在线上服务器进行抓包操作，如果是windows或者ubuntu完全可以选择一些图形化的工具，ubuntu比较推荐用wireshark，安装方式很简单sudoapt一下即可。

命令行格式：
tcpdump[-adeflnNOpqStvx][-c数量][-F文件名][-i网络接口][-r文件名][-ssnaplen][-T类型][-w文件名][表达式]

常用的参数：
-l　　　使标准输出变为缓冲行形式；
-n　　不把网络地址转换成名字；

-c　　　在收到指定的包的数目后，tcpdump就会停止；
-i　　　指定监听的网络接口；(如果没有指定可能在默认网卡上监听，需要指定绑定了特定IP的网卡)
-w　　直接将包写入文件中，并不分析和打印出来；
-s指定记录package的大小，常见-s0，代表最大值65535，一半linux传输最小单元MTU为1500，足够了
-X直接输出packagedata数据，默认不设置，只能通过-w指定文件进行输出

常用表达式：

关于类型的关键字，主要包括host，net，port
传输方向的关键字，主要包括src,dst,dstorsrc,dstandsrc
协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型
逻辑运算，取非运算是'not''!',与运算是'and','&&';或运算是'or','||'
其他重要的关键字如下：gateway,broadcast,less,greater

实际例子：

1.http数据包抓取(直接在终端输出packagedata)

tcpdumptcpport80-n-X-s0指定80端口进行输出

2.抓取http包数据指定文件进行输出package

tcpdumptcpport80-n-s0-w/tmp/tcp.cap

对应的/tmp/tcp.cap基本靠肉眼已经能看一下信息，比如httpHeader,content信息等

3.结合管道流

tcpdumptcpport80-n-s0-X-l|grepxxxx

这样可以实时对数据包进行字符串匹配过滤

4.mod_proxy反向代理抓包

线上服务器apache+jetty，通过apachemod_proxy进行一个反向代理，80apache端口,7001jetty端口

apache端口数据抓包：　tcpdumptcpport80-n-s0-X-ieth0　　注意：指定eth0网络接口
jetty端口数据抓包：　tcpdumptcpport7001-n-s0-X-ilo注意：指定Loopback网络接口

5.只监控特定的ip主机
tcpdumptcphost10.16.2.85andport2100-s0-X　
需要使用tcp表达式的组合，这里是host指示只监听该ip

小技巧：

1.可结合tcpdump(命令)+wireshark(图形化)

操作：　

在服务器上进行tcpdump-w/tmp/tcp.cap指定输出外部文件
scp/tmp/tcp.cap拷贝文件到你本地
wireshark&　启动wireshark
通过　File->Open　打开拷贝下来的文件，这样就可以利用进行数据包分析了
剩下来的事就非常方便了

tcpdump-XvvennSs0-ieth0tcp[20:2]=0x4745ortcp[20:2]=0x4854

0x4745为"GET"前两个字母"GE"

0x4854为"HTTP"前两个字母"HT"

说明：通常情况下:一个正常的TCP连接，都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手

里面的几个概念：

SYN:(同步序列编号,SynchronizeSequenceNumbers)ACK:(确认编号,AcknowledgementNumber)FIN:(结束标志,FINish)TCP三次握手(创建OPEN)

客户端发起一个和服务创建TCP链接的请求，这里是SYN(J)服务端接受到客户端的创建请求后，返回两个信息：SYN(K)+ACK(J+1)客户端在接受到服务端的ACK信息校验成功后(J与J+1)，返回一个信息：ACK(K+1)服务端这时接受到客户端的ACK信息校验成功后(K与K+1)，不再返回信息，后面进入数据通讯阶段数据通讯

客户端/服务端read/write数据包TCP四次握手(关闭finish)

客户端发起关闭请求，发送一个信息：FIN(M)服务端接受到信息后，首先返回ACK(M+1),表明自己已经收到消息。服务端在准备好关闭之前，最后发送给客户端一个FIN(N)消息，询问客户端是否准备好关闭了客户端接受到服务端发送的消息后，返回一个确认信息:ACK(N+1)最后，服务端和客户端在双方都得到确认时，各自关闭或者回收对应的TCP链接。详细的状态说明(以及linux相关参数调整)

SYN_SEND

客户端尝试链接服务端，通过open方法。也就是TCP三次握手中的第1步之后,注意是客户端状态sysctl-wnet.ipv4.tcp_syn_retries=2,做为客户端可以设置SYN包的重试次数，默认5次(大约180s)引用校长的话：仅仅重试2次，现代网络够了SYN_RECEIVED

服务接受创建请求的SYN后，也就是TCP三次握手中的第2步，发送ACK数据包之前注意是服务端状态,一般15个左右正常，如果很大，怀疑遭受SYN_FLOOD攻击sysctl-wnet.ipv4.tcp_max_syn_backlog=4096,设置该状态的等待队列数，默认1024，调大后可适当防止syn-flood，可参见man7tcpsysctl-wnet.ipv4.tcp_syncookies=1,　打开syncookie，在synbacklog队列不足的时候，提供一种机制临时将syn链接换出sysctl-wnet.ipv4.tcp_synack_retries=2,做为服务端返回ACK包的重试次数，默认5次(大约180s)引用校长的话：仅仅重试2次，现代网络够了ESTABLISHED

客户端接受到服务端的ACK包后的状态，服务端在发出ACK在一定时间后即为ESTABLISHEDsysctl-wnet.ipv4.tcp_keepalive_time=1200，默认为7200秒(2小时)，系统针对空闲链接会进行心跳检查，如果超过net.ipv4.tcp_keepalive_probes*net.ipv4.tcp_keepalive_intvl=默认11分，终止对应的tcp链接，可适当调整心跳检查频率目前线上的监控waring:600,critial:800FIN_WAIT1

主动关闭的一方，在发出FIN请求之后，也就是在TCP四次握手的第1步CLOSE_WAIT

被动关闭的一方，在接受到客户端的FIN后，也就是在TCP四次握手的第2步FIN_WAIT2

主动关闭的一方，在接受到被动关闭一方的ACK后，也就是TCP四次握手的第2步sysctl-wnet.ipv4.tcp_fin_timeout=30,可以设定被动关闭方返回FIN后的超时时间，有效回收链接，避免syn-flood.LASK_ACK

被动关闭的一方，在发送ACK后一段时间后(确保客户端已收到)，再发起一个FIN请求。也就是TCP四次握手的第3步TIME_WAIT

主动关闭的一方，在收到被动关闭的FIN包后，发送ACK。也就是TCP四次握手的第4步sysctl-wnet.ipv4.tcp_tw_recycle=1,打开快速回收TIME_WAIT，EnablingthisoptionisnotrecommendedsincethiscausesproblemswhenworkingwithNAT(NetworkAddressTranslation)sysctl-wnet.ipv4.tcp_tw_reuse=1,快速回收并重用TIME_WAIT的链接,貌似和tw_recycle有冲突，不能重用就回收?net.ipv4.tcp_max_tw_buckets:处于time_wait状态的最多链接数，默认为180000.相关说明

主动关闭方在接收到被动关闭方的FIN请求后，发送成功给对方一个ACK后,将自己的状态由FIN_WAIT2修改为TIME_WAIT，而必须再等2倍的MSL(MaximumSegmentLifetime,MSL是一个数据报在internetwork中能存在的时间)时间之后双方才能把状态都改为CLOSED以关闭连接。目前RHEL里保持TIME_WAIT状态的时间为60秒keepAlive策略可以有效的避免进行三次握手和四次关闭的动作其他网络重要参数

net.ipv4.tcp_rmem参数

默认值：min=4096default=87380max=4194304

net.ipv4.tcp_wmem参数

默认值：min=4096default=16384max=4194304