以下所有示例都是在 macbook 下测试. 局域网地址为: 10.0.0.68

查看哪个网卡可以被监听

sudo tcpdump -D

输出结果:
1.en0 [Up, Running]
2.p2p0 [Up, Running]
3.awdl0 [Up, Running]
4.bridge0 [Up, Running]
5.utun0 [Up, Running]
6.en1 [Up, Running]
7.utun1 [Up, Running]
8.en2 [Up, Running]
9.lo0 [Up, Running, Loopback]
10.gif0
11.stf0
12.XHC20

那些 Up, Running 状态的, 就表示可以被监听的.

监听指定网卡的所有流量

sudo tcpdump -i en0

监听所有可以被监听的网卡

sudo tcpdump -i any

查看详细的输出

sudo tcpdump -v
sudo tcpdump -vv
sudo tcpdump -vvv

查看比较少的输出

-q

sudo tcpdump -i lo0 tcp port 8080 -q
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo0, link-type NULL (BSD loopback), capture size 262144 bytes
17:08:42.635649 IP localhost.52460 > localhost.http-alt: tcp 0
17:08:42.635720 IP localhost.http-alt > localhost.52460: tcp 0
17:08:42.635735 IP localhost.52460 > localhost.http-alt: tcp 0

可以看到, 它只是输出连接地址, 以及数据tcp 数据包的长度.

将数据包以十六进制以及ASCII输出

sudo tcpdump -i lo0 -v -X

只抓取 N 个数据包

sudo tcpdump -c 100

将记录输出到文件

sudo tcpdump -v -w capture.cap

从输出的文件中读取数据

sudo tcpdump -vvv -r capture.cap

不进行域名解析

sudo tcpdump -n

只捕获所有发送到指定IP的数据

sudo tcpdump -i en0 dst host 10.0.0.68

10.0.0.68 替换为你想捕获的目的地IP数据地址即可

只捕获所有从某IP发出的数据

sudo tcpdump -i en0 src host 10.0.0.68

10.0.0.68 替换为你想捕获的源IP数据地址即可

捕获所有主机为指定IP的数据

sudo tcpdump -n host 10.0.0.68

这意味着, 获取所有 10.0.0.68 接收或发送出的所有数据.

只捕获所有指定网段的源IP发送的数据

sudo tcpdump -n src net 10.0.0.0/24

只捕获所有发送到指定网段的目的地IP的数据

sudo tcpdump -n dst net 10.0.0.0/24

只捕获所有指定网段的IP数据

sudo tcpdump -n net 10.0.0.0/24

这意味着, 不管是从这网段发出或接收的数据, 都进行捕获.

捕获指定目的地端口的数据

sudo tcpdump -i any -n dst port 8080

即不管目的地IP是多少, 只是接收的端口为 8080 的数据, 全进行捕获.

还可以指定端口范围

sudo tcpdump -i any -n dst portrange 1-8080

还可以指定协议类型

sudo tcpdump -i any -n tcp dst portrange 1-8080

tcp 表示为 TCP 类型

udp 表示为 UDP 类型

捕获目的地为指定IP 以及 指定端口的数据

sudo tcpdump -i any -n "dst port 8080 and dst host 10.0.0.68"

即: 所有发送到 10.0.0.68:8080 的数据都进行捕获

sudo tcpdump -i any -n "(dst port 8080 or dst port 443) and dst host 10.0.0.68"

即: 所有发送到 10.0.0.68 的数据, 并且端口为 8080443 都可以.

只捕获指定大小的数据包

默认是 68 bytes

sudo tcpdump -s 500

捕获所有数据包

sudo tcpdump -s 0

捕获 ARP 数据包

sudo tcpdump -v arp

捕获 ICMP 数据包

sudo tcpdump -v icmp

捕获HTTP 数据包

sudo tcpdump -i any -s 0 'tcp port http'

调试 HTTPS 数据包

虽然 tcpdump 目前还不支持 https 的数据进行明文处理. 但现在的服务器, 一般是使用 nginx 作为负载均衡, 然后后端使用 tomcat 来进行处理. 这样子, 我们就可以用 tcpdump 来捕获 tomcat 端口的数据即可~

假设, 服务器配置的 upstream 如下:

upstream web.request {
        server 127.0.0.1:8770;
        server 127.0.0.1:8078;
}

则可以这样子监听:

sudo tcpdump -i lo port 8770 or port 8078 -vvv -X

只抓取 SYN 包

sudo tcpdump -i eth1 'tcp port 888 and dst port 888 and (tcp[tcpflags] & (tcp-syn) != 0)' -c 10 -vvvvv -X

常用示例

sudo tcpdump -i eth0 'tcp port xxx ' -ttttt -vvvvv -X -A -c 100
  • -t : 禁止显示 timestamp
  • -tt : 显示以秒为单位. 例子: 1565236695.467340 . 从 1970 年 1 月 1日 0 时 0 分 0 秒以来到现在的绝对时间
  • -ttt : 显示以微秒为单位的以上一个数据包的时间差. 例子 : 00:00:00.000702
  • -tttt : 例如 : 2019-08-08 12:02:37.719226
  • -ttttt : 显示当前与第一行数据的时间差. 单位为微秒. 例如 00:00:00.002420

杂项

  • -n 参数 : 不解析 host , 只显示 ip

输出结果解析

tos

tos : TOS - Type Of Service. wiki tos

共 8 bit (1B).

0 1 2 3 4 5 6 7
Precedence Precedence Precedence lowdelay throughput reliability lowcost MBZ(0)

Precedence 的值有:

111 - Network Control
110 - Internetwork Control
101 - CRITIC/ECP
100 - Flash Override
011 - Flash
010 - Immediate
001 - Priority
000 - Routine

例如, tcpdump 输出中

IP (tos 0x10, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->262d)!)

则 tos 整个字节的值为 0x10, 即十六进制的10, 转换为二进制为

echo 'ibase=16;obase=2;50' | bc
1010000

填充为 8 位的话则为
01010000
010 | 1 | 0 | 0 | 0 | 0

  • precedence 值为 010
  • lowdelay 为 1
  • throughput 为 0
  • reliability 为 0
  • lowcost 为 0
  • MBZ 一定为 0

ttl

time to live.

存活时间以秒为单位,但小于一秒的时间均向上取整到一秒。在现实中,这实际上成了一个跳数计数器:报文经过的每个路由器都将此字段减1,当此字段等于0时,报文不再向下一跳传送并被丢弃,最大值是255

— 维基百科 https://zh.wikipedia.org/wiki/IPv4

id

占16位,这个字段主要被用来唯一地标识一个报文的所有分片,因为分片不一定按序到达,所以在重组时需要知道分片所属的报文。每产生一个数据报,计数器加1,并赋值给此字段.

IP flags

这个3位字段用于控制和识别分片,它们是:

  • 位0:保留,必须为0;
  • 位1:禁止分片(Don’t Fragment,DF),当DF=0时才允许分片;
  • 位2:更多分片(More Fragment,MF),MF=1代表后面还有分片,MF=0 代表已经是最后一个分片。

offset

这个13位字段指明了每个分片相对于原始报文开头的偏移量,以8字节作单位.

IP 层的 length

这个16位字段定义了报文总长,包含首部和数据,单位为字节。这个字段的最小值是20(20字节首部+0字节数据),最大值是2^16-1=65,535

protol 协议

IP 协议号. 示例结果 IP(6) 即 IP 协议号 6 . (即为 TCP)

https://zh.wikipedia.org/wiki/IP%E5%8D%8F%E8%AE%AE%E5%8F%B7%E5%88%97%E8%A1%A8

不同的 length

14:38:28.479897 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 79, bad cksum 0 (->2622)!)
    10.0.0.68.8888 > 10.0.0.68.54957: Flags [P.], cksum 0x14c9 (incorrect -> 0xbeff), seq 1:28, ack 162, win 6377, options [nop,nop,TS val 1586677331 ecr 1586677325], length 27

length 79 : 这个表示IP 层的总长度(包含头和数据)

length 27 : 这个是传输层 payload 的数据大小. (Tcpdump 的 man 里原文为: Len is the length of payload data)

flags

  • [P] (Push Data)
  • [R] (Reset Connection)
  • [S] (Start Connection)
  • [F] (Finish Connection)
  • [S.] (SynAcK Packet)
  • [.] (No Flag Set)

options

https://www.iana.org/assignments/ip-parameters/ip-parameters.xhtml

常见的有

  • NOP : no operation
  • SEC : security
  • E-SEC : extend security
  • TS : time stamp
  • TS val 235835291 ecr 911640428 : 类似这种的话
    • ECR : echo reply . (TSER). 它通常用于 ack message, 持有上一次收到的 TSV 的值的副本.
    • TSV : timestamp value

HTTP 应用估算带宽

一个frame 的结构如下

eth:ethertype:ip:tcp:http:data

(eth + ethtype + ip + tcp) header , 一般为 66 bytes

属性 大小
eth + ethertype 14 bytes
ip header 20 bytes
tcp header 20 ~ 60 bytes . 一般 (ip + tcp)header 一共 52 bytes
http header 自行计算输出大小
http body 自行计算输出大小

最小只返回 204 的, 经过抓包发现整个数据为 117 bytes (包括链路层) Header 里只有

HTTP/1.1.204 No.Content\r\n Connection: keep-alive\r\n

通过修改 Nignx 源码, 去掉 Connection 的 Header , 则只剩下 93 bytes.

数据包相关术语

        +-------------+-------------------------+
        | Application |  Telnet, FTP, etc       |
        +-------------+-------------------------+
        | Transport   |  TCP, UDP               |
        +-------------+-------------------------+
        | Network     |  IP, ICMP               |
        +-------------+-------------------------+
        | Link        | drivers, interface card | 
        +-------------+-------------------------+
  • Segment : 如果传输协议为 TCP, 则从 TCP -> Network 的数据单元就称为 Segment
  • Datagram
    • 如果 Network 协议为 IP, 则数据单元称为 Datagram. 也叫 IP Datagram
    • 在 Transport 层, 如果协议为 UDP, 也称为 Datagram. 也叫 UDP Datagram
  • Frame : 物理层 Link
  • Packet : 是个通用的术语. 用在 Transport, 或 Network 层. 即 TCP Packet, UDP Packet, IP Packet 等. 但一般不用在 Link (物理层)
  • Fragment : 它是经过一个协议已经分好适应 MTU 大小的数据单元的结果了的数据, 就称为 Fragment

参考资料

分片

TCP 分片

它是由 TCP 参数 MSS 来决定的. 注意, 它的大小并不包括 TCP Header 或 IP Header.

MSS 也意味着是应用层最大的发送字节数.

通常, MSS = 物理层 MTU(1500) - IPHeader (20) - TCP Header (20) = 1460.

MTU

有两个含义

  • 物理设备的 MTU, 表示最大传输单元. (eth通常为 1500)
    • 这个数值, 可以用 ifconfig 命令查看
    • 查看对方的 MTU 的话, 可以根据第一次建立连接的中的 MSS 来判断. 对方的 MTU = MSS +
  • IP MTU, 表示 IP Payload 的最大大小 (不包括链路层的 header 和 trailer)

发送包的大小, 是由 MTU 较小的一方决定的.

TCP window size

它是 TCP 协议的一个选项, 最大值为 65535 bytes.

一个通讯的吞吐是由两个 window 来限制的

  • Congestion window : 不超出网络大小
  • Receive window : 不超出接收端的处理数据大小
    • 即 TCP receive buffer 用于接收数据存放的缓冲区大小.
    • 在 TCP Header 中设置这个大小, 用于表示发送者在收到 ack 之前最多还可以发送多少数据给对方.

Linux 系统相关操作

  • 查看是开启滑动窗口功能 cat /proc/sys/net/ipv4/tcp_window_scaling . 1 为开启. 0 为禁止.

参考资料