tcpdump使用
Contents
以下所有示例都是在 macbook 下测试. 局域网地址为: 10.0.0.68
查看哪个网卡可以被监听
sudo tcpdump -D
输出结果:
1.en0 [Up, Running]
2.p2p0 [Up, Running]
3.awdl0 [Up, Running]
4.bridge0 [Up, Running]
5.utun0 [Up, Running]
6.en1 [Up, Running]
7.utun1 [Up, Running]
8.en2 [Up, Running]
9.lo0 [Up, Running, Loopback]
10.gif0
11.stf0
12.XHC20
那些 Up, Running
状态的, 就表示可以被监听的.
监听指定网卡的所有流量
sudo tcpdump -i en0
监听所有可以被监听的网卡
sudo tcpdump -i any
查看详细的输出
sudo tcpdump -v
sudo tcpdump -vv
sudo tcpdump -vvv
查看比较少的输出
-q
sudo tcpdump -i lo0 tcp port 8080 -q
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo0, link-type NULL (BSD loopback), capture size 262144 bytes
17:08:42.635649 IP localhost.52460 > localhost.http-alt: tcp 0
17:08:42.635720 IP localhost.http-alt > localhost.52460: tcp 0
17:08:42.635735 IP localhost.52460 > localhost.http-alt: tcp 0
可以看到, 它只是输出连接地址, 以及数据tcp 数据包的长度.
将数据包以十六进制以及ASCII输出
sudo tcpdump -i lo0 -v -X
只抓取 N 个数据包
sudo tcpdump -c 100
将记录输出到文件
sudo tcpdump -v -w capture.cap
从输出的文件中读取数据
sudo tcpdump -vvv -r capture.cap
不进行域名解析
sudo tcpdump -n
只捕获所有发送到指定IP的数据
sudo tcpdump -i en0 dst host 10.0.0.68
将 10.0.0.68
替换为你想捕获的目的地IP数据地址即可
只捕获所有从某IP发出的数据
sudo tcpdump -i en0 src host 10.0.0.68
将 10.0.0.68
替换为你想捕获的源IP数据地址即可
捕获所有主机为指定IP的数据
sudo tcpdump -n host 10.0.0.68
这意味着, 获取所有 10.0.0.68
接收或发送出的所有数据.
只捕获所有指定网段的源IP发送的数据
sudo tcpdump -n src net 10.0.0.0/24
只捕获所有发送到指定网段的目的地IP的数据
sudo tcpdump -n dst net 10.0.0.0/24
只捕获所有指定网段的IP数据
sudo tcpdump -n net 10.0.0.0/24
这意味着, 不管是从这网段发出或接收的数据, 都进行捕获.
捕获指定目的地端口的数据
sudo tcpdump -i any -n dst port 8080
即不管目的地IP是多少, 只是接收的端口为 8080 的数据, 全进行捕获.
还可以指定端口范围
sudo tcpdump -i any -n dst portrange 1-8080
还可以指定协议类型
sudo tcpdump -i any -n tcp dst portrange 1-8080
tcp
表示为 TCP 类型
udp
表示为 UDP 类型
捕获目的地为指定IP 以及 指定端口的数据
sudo tcpdump -i any -n "dst port 8080 and dst host 10.0.0.68"
即: 所有发送到 10.0.0.68:8080
的数据都进行捕获
sudo tcpdump -i any -n "(dst port 8080 or dst port 443) and dst host 10.0.0.68"
即: 所有发送到 10.0.0.68
的数据, 并且端口为 8080
或 443
都可以.
只捕获指定大小的数据包
默认是 68 bytes
sudo tcpdump -s 500
捕获所有数据包
sudo tcpdump -s 0
捕获 ARP 数据包
sudo tcpdump -v arp
捕获 ICMP 数据包
sudo tcpdump -v icmp
捕获HTTP 数据包
sudo tcpdump -i any -s 0 'tcp port http'
调试 HTTPS 数据包
虽然 tcpdump 目前还不支持 https 的数据进行明文处理. 但现在的服务器, 一般是使用 nginx 作为负载均衡, 然后后端使用 tomcat 来进行处理. 这样子, 我们就可以用 tcpdump 来捕获 tomcat 端口的数据即可~
假设, 服务器配置的 upstream 如下:
upstream web.request {
server 127.0.0.1:8770;
server 127.0.0.1:8078;
}
则可以这样子监听:
sudo tcpdump -i lo port 8770 or port 8078 -vvv -X
只抓取 SYN 包
sudo tcpdump -i eth1 'tcp port 888 and dst port 888 and (tcp[tcpflags] & (tcp-syn) != 0)' -c 10 -vvvvv -X
常用示例
sudo tcpdump -i eth0 'tcp port xxx ' -ttttt -vvvvv -X -A -c 100
-t
: 禁止显示 timestamp-tt
: 显示以秒为单位. 例子:1565236695.467340
. 从 1970 年 1 月 1日 0 时 0 分 0 秒以来到现在的绝对时间-ttt
: 显示以微秒为单位的以上一个数据包的时间差. 例子 :00:00:00.000702
-tttt
: 例如 :2019-08-08 12:02:37.719226
-ttttt
: 显示当前与第一行数据的时间差. 单位为微秒. 例如00:00:00.002420
杂项
-n
参数 : 不解析 host , 只显示 ip
输出结果解析
tos
tos
: TOS - Type Of Service. wiki tos
共 8 bit (1B).
0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 |
---|---|---|---|---|---|---|---|
Precedence | Precedence | Precedence | lowdelay | throughput | reliability | lowcost | MBZ(0) |
Precedence 的值有:
111 - Network Control
110 - Internetwork Control
101 - CRITIC/ECP
100 - Flash Override
011 - Flash
010 - Immediate
001 - Priority
000 - Routine
例如, tcpdump 输出中
IP (tos 0x10, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->262d)!)
则 tos 整个字节的值为 0x10
, 即十六进制的10
, 转换为二进制为
echo 'ibase=16;obase=2;50' | bc
1010000
填充为 8 位的话则为
01010000
010 | 1 | 0 | 0 | 0 | 0
即
- precedence 值为 010
- lowdelay 为 1
- throughput 为 0
- reliability 为 0
- lowcost 为 0
- MBZ 一定为 0
ttl
time to live.
存活时间以秒为单位,但小于一秒的时间均向上取整到一秒。在现实中,这实际上成了一个跳数计数器:报文经过的每个路由器都将此字段减1,当此字段等于0时,报文不再向下一跳传送并被丢弃,最大值是255
id
占16位,这个字段主要被用来唯一地标识一个报文的所有分片,因为分片不一定按序到达,所以在重组时需要知道分片所属的报文。每产生一个数据报,计数器加1,并赋值给此字段.
IP flags
这个3位字段用于控制和识别分片,它们是:
- 位0:保留,必须为0;
- 位1:禁止分片(Don’t Fragment,DF),当DF=0时才允许分片;
- 位2:更多分片(More Fragment,MF),MF=1代表后面还有分片,MF=0 代表已经是最后一个分片。
offset
这个13位字段指明了每个分片相对于原始报文开头的偏移量,以8字节作单位.
IP 层的 length
这个16位字段定义了报文总长,包含首部和数据,单位为字节。这个字段的最小值是20(20字节首部+0字节数据),最大值是2^16-1=65,535
protol 协议
IP 协议号. 示例结果 IP(6)
即 IP 协议号 6 . (即为 TCP)
https://zh.wikipedia.org/wiki/IP%E5%8D%8F%E8%AE%AE%E5%8F%B7%E5%88%97%E8%A1%A8
不同的 length
14:38:28.479897 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 79, bad cksum 0 (->2622)!)
10.0.0.68.8888 > 10.0.0.68.54957: Flags [P.], cksum 0x14c9 (incorrect -> 0xbeff), seq 1:28, ack 162, win 6377, options [nop,nop,TS val 1586677331 ecr 1586677325], length 27
length 79
: 这个表示IP 层的总长度(包含头和数据)
length 27
: 这个是传输层 payload 的数据大小. (Tcpdump 的 man 里原文为: Len is the length of payload data)
flags
[P]
(Push Data)[R]
(Reset Connection)[S]
(Start Connection)[F]
(Finish Connection)[S.]
(SynAcK Packet)[.]
(No Flag Set)
options
https://www.iana.org/assignments/ip-parameters/ip-parameters.xhtml
常见的有
NOP
: no operationSEC
: securityE-SEC
: extend securityTS
: time stampTS val 235835291 ecr 911640428
: 类似这种的话ECR
: echo reply . (TSER). 它通常用于 ack message, 持有上一次收到的 TSV 的值的副本.TSV
: timestamp value
HTTP 应用估算带宽
一个frame 的结构如下
eth:ethertype:ip:tcp:http:data
(eth + ethtype + ip + tcp) header , 一般为 66 bytes
属性 | 大小 |
---|---|
eth + ethertype | 14 bytes |
ip header | 20 bytes |
tcp header | 20 ~ 60 bytes . 一般 (ip + tcp)header 一共 52 bytes |
http header | 自行计算输出大小 |
http body | 自行计算输出大小 |
最小只返回 204 的, 经过抓包发现整个数据为 117 bytes (包括链路层) Header 里只有
HTTP/1.1.204 No.Content\r\n Connection: keep-alive\r\n
通过修改 Nignx 源码, 去掉 Connection 的 Header , 则只剩下 93 bytes.
数据包相关术语
+-------------+-------------------------+
| Application | Telnet, FTP, etc |
+-------------+-------------------------+
| Transport | TCP, UDP |
+-------------+-------------------------+
| Network | IP, ICMP |
+-------------+-------------------------+
| Link | drivers, interface card |
+-------------+-------------------------+
Segment
: 如果传输协议为 TCP, 则从 TCP -> Network 的数据单元就称为 SegmentDatagram
- 如果 Network 协议为 IP, 则数据单元称为 Datagram. 也叫 IP Datagram
- 在 Transport 层, 如果协议为 UDP, 也称为 Datagram. 也叫 UDP Datagram
Frame
: 物理层 LinkPacket
: 是个通用的术语. 用在 Transport, 或 Network 层. 即 TCP Packet, UDP Packet, IP Packet 等. 但一般不用在 Link (物理层)Fragment
: 它是经过一个协议已经分好适应 MTU 大小的数据单元的结果了的数据, 就称为 Fragment
参考资料
分片
TCP 分片
它是由 TCP 参数 MSS 来决定的. 注意, 它的大小并不包括 TCP Header 或 IP Header.
MSS 也意味着是应用层最大的发送字节数
.
通常, MSS = 物理层 MTU(1500) - IPHeader (20) - TCP Header (20) = 1460.
MTU
有两个含义
- 物理设备的 MTU, 表示最大传输单元. (eth通常为 1500)
- 这个数值, 可以用
ifconfig
命令查看 - 查看对方的 MTU 的话, 可以根据第一次建立连接的中的 MSS 来判断. 对方的 MTU = MSS +
- 这个数值, 可以用
- IP MTU, 表示 IP Payload 的最大大小 (不包括链路层的 header 和 trailer)
发送包的大小, 是由 MTU 较小的一方决定的.
TCP window size
它是 TCP 协议的一个选项, 最大值为 65535 bytes
.
一个通讯的吞吐是由两个 window 来限制的
- Congestion window : 不超出网络大小
- Receive window : 不超出接收端的处理数据大小
- 即 TCP receive buffer 用于接收数据存放的缓冲区大小.
- 在 TCP Header 中设置这个大小, 用于表示发送者在收到 ack 之前最多还可以发送多少数据给对方.
Linux 系统相关操作
- 查看是开启滑动窗口功能
cat /proc/sys/net/ipv4/tcp_window_scaling
. 1 为开启. 0 为禁止.
参考资料
- https://en.wikipedia.org/wiki/TCP_window_scale_option
- https://www.cnblogs.com/awpatp/archive/2013/02/17/2914152.html
- https://accedian.com/enterprises/blog/tcp-receive-window-everything-need-know/
- https://stackoverflow.com/questions/20919207/remove-connection-keep-alive-response-header-in-nginx-204-response-with-http