tcpdump抓取HTTP包

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745为“GET”前两个字母“GE”

0x4854为“HTTP”前两个字母“HT”

通常情况下:一个正常的TCP连接,都会有三个阶段

  • 1.TCP三次握手
  • 2.数据传送
  • 3.TCP四次挥手

TCP三次握手(创建OPEN)

  1. 客户端发起一个和服务创建TCP连接的请求SYN
  2. 服务端接受到客户端的创建请求之后,返回SYN(i)+ACK(j)
  3. 客户端在接收到服务端的ACK信息校验成功后(j与j+1),返回一个信息ACK(i+1)
  4. 服务端这时接收到客户端的ACK信息校验成功后(i与i+1),不再返回信息,后面进入数据通讯阶段

数据通讯

客户端/服务端 read/write数据包

TCP四次握手

  1. 客户端发起关闭请求,发送一个信息:FIN(M)
  2. 服务端接受到信息后,首先返回ACK(M+1),表明自己已经收到消息。
  3. 服务端在准备好关闭之前,最后发送给客户端一个 FIN(N)消息,询问客户端是否准备好关闭了
  4. 客户端接受到服务端发送的消息后,返回一个确认信息: ACK(N+1)
  5. 最后,服务端和客户端在双方都得到确认时,各自关闭或者回收对应的TCP连接

详细状态说明

  1. SYN_SEND

    • 客户端尝试连接服务端,通过open方法。属于客户端的状态
    • sysctl -w net.ipv4.tcp_syn_retries = 2,作为客户端可以设置SYN包的重试次数,默认5次(大约180s)

  2. SYN_RECEIVED

    • 服务器接收创建连接的SYN请求后,发送ACK数据包之前,上述三次握手中的第二步
    • 服务端端口,一般15个左右正常,如果很大,怀疑SYN_FLOOD攻击
    • sysctl -w net.ipv4.tcp_max_syn_backlog=4096,设置该状态的等待队列数,默认1024,调大后可适当防止syn-flood.
    • sysctl -w net.ipv4.tcp_syncookies=1,打开syscookie,在syn backlog队列不足的时候,提供一种机制将临时syn连接换出
    • sysctl -w net.ipv4.tcp_synack_retries=2,作为服务端返回ACK包的重试次数,默认5次(大约180s)

  3. ESTABLISHED

    • 客户端接收到服务端的ACK包后的状态,服务端再发出ACK在一定时间后即为这个状态
    • sysctl -w net.ipv4.tcp_keepalive_time = 1200 ,默认为7200秒(2小时),系统针对空闲链接会进行心跳检查,如果超过net.ipv4.tcp_keepalive_probes * net.ipv4.tcp_keepalive_intvl = 默认11分,终止对应的tcp链接,可适当调整心跳检查频率

  4. FIN_WAIT1

    • 主动关闭的一方,在发出FIN请求之后(TCP四次握手第一步)

  5. CLOSE_WAIT

    • 被动关闭的一方,在接收到客户端的FIN后(TCP四次握手第二步)

  6. FIN_WAIT2

    • 主动关闭的一方,在接收到被动关闭一方的ACK后(TCP握手第三步)

  7. LASK_ACK

    • 被动关闭的一方,在发送ACK后一段时间后(确保客户端已收到),再发起一个FIN请求。(TCP四次握手第四步)

  8. TIME_WAIT

    • 主动关闭的一方,在收到被动关闭的FIN包后,发送ACK。也就是TCP四次握手的第4步
    • sysctl -w net.ipv4.tcp_tw_recycle = 1 , 打开快速回收TIME_WAIT,Enabling this option is not recommended since this causes problems when working with NAT (Network Address Translation)
    • sysctl -w net.ipv4.tcp_tw_reuse =1, 快速回收并重用TIME_WAIT的链接, 貌 和tw_recycle有冲突,不能重用就回收?
    • net.ipv4.tcp_max_tw_buckets: 处于time_wait状态的最多链接数,默认为180000.

备注:

  1. 主动关闭方在接收到被动关闭方的FIN请求后,发送给对方一个ACK后,将自己的状态由FIN_WAIT2修改为TIME_WAIT,而必须再等2MSL(Maximum Segment Lifetime,MSL是一个数据报在internetwork中能存在的时间)时间之后双方才能把状态 都改为CLOSED以关闭连接。目前RHEL里保持TIME_WAIT状态的时间为60秒

  2. keepAlive策略可以有效的避免进行三次握手和四次关闭的动作

其他网络重要参数:

  1. net.ipv4.tcp_rmem 参数

    • 默认 : min=4096 default=87380 max=4194304

  2. net.ipv4.tcp_wmem 参数

    • 默认 : min=4096 default=16384 max=4194304

Tcpdump

tcpdump是linux系统自带的抓包工具,主要通过命令行的方式,比较适合在线上服务器进行抓包操作,如果是windows或者ubuntu完全可 以选择一些图形化的工具,ubuntu比较推荐用wireshark,安装方式很简单sudo apt一下即可。

tcpdump抓取HTTP包的更多相关文章

  1. [转]使用tcpdump抓取HTTP包

    tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 0x4745 为"GET"前两个字母"G ...

  2. tcpdump抓取HTTP包【转载】

    tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 0x4745 为"GET"前两个字母"G ...

  3. linux tcpdump抓取HTTP包的详细解释

    tcpdump tcpdump是linux系统自带的抓包工具,主要通过命令行的方式,比较适合在线上服务器进行抓包操作,如果是windows或者ubuntu完全可 以选择一些图形化的工具,ubuntu比 ...

  4. 利用tcpdump抓取网络包

    1.下载并安装tcpdump 下载地址:tcpdump 安装tcpdump,连接adb adb push tcpdump /data/local/tcpdump adb shell chmod 675 ...

  5. Linux使用tcpdump抓取网络数据包示例

    tcpdump是Linux命令行下常用的的一个抓包工具,记录一下平时常用的方式,测试机器系统是ubuntu 12.04. tcpdump的命令格式 tcpdump的参数众多,通过man tcpdump ...

  6. tcpdump 基于mac地址抓取数据包

    1.刚刚接触tcpdump时,常用tcpdump -i eth1 host 192.168.1.1 这个命令基于ip地址抓取数据包信息. tcpdump -i eth1(接口名称) host 192. ...

  7. Android移动网络如何抓取数据包

    1)下载tcpdump工具 tcpdump(dump the traffic on a network)是Linux中强大的网络数据采集分析工具之一,可以将网络中传送的数据包头完全截获下来提供分析.它 ...

  8. 利用Fiddler抓取websocket包

    一.利用fiddler抓取websockt包 打开Fiddler,点开菜单栏的Rules,选择Customize Rules... 这时会打开CustomRules.js文件,在class Handl ...

  9. 使用wireshark抓取TCP包分析1

    使用wireshark抓取TCP包分析1 前言 介绍 目的 准备工作 传输 创建连接 握手 生成密钥 发送数据 断开连接 结论 前言 介绍 本篇文章是使用wireshrak对某个https请求的tcp ...

随机推荐

  1. bzoj 1061 志愿者招募 有上下界费用流做法

    把每一天看作一个点,每一天的志愿者数目就是流量限制,从i到i+1连边,上下界就是(A[i],+inf). 对于每一类志愿者,从T[i]+1到S[i]连边,费用为招募一个志愿者的费用,流量为inf.这样 ...

  2. 北京培训记day1

    数学什么的....简直是丧心病狂啊好不好 引入:Q1:前n个数中最多能取几个,使得没有一个数是另一个的倍数   答案:(n/2)上取整 p.s.取后n/2个就好了 Q2:在Q1条件下,和最小为多少 答 ...

  3. 【Codeforces235C】Cyclical Quest 后缀自动机

    C. Cyclical Quest time limit per test:3 seconds memory limit per test:512 megabytes input:standard i ...

  4. 纪念BLives 1.0版本发布

    历时两个多月的时间,BLives程序1.0发布,在开发程序期间自己经历了很多,考试,恋爱,学业,自己很纠结 很伤心,有时候很无助,为了让自己有事干,我在考试备考期间去设计程序- -#,虽然程序设计的一 ...

  5. ui library

    https://github.com/twbs/bootstrap https://github.com/semantic-org/semantic-ui/ https://github.com/zu ...

  6. Java中堆的实现类PriorityQueue队列接口Queue

    Application:这层的职责是对接收到的数据做一些非业务性验证,事务的控制,最重要的是协调多个聚合之间的操作.这里应该可以清晰的表达出整个操作所做的事情,并且与通用语言是一致的. 以上我们讲到可 ...

  7. selenium 页面截图并保存

    import java.io.File; import java.io.IOException; import org.apache.commons.io.FileUtils; import org. ...

  8. Excel—分离中英文字符

    1.如下图: 2.提取中文字符为: 3.提取应为字符为: 4.说明: 该方法的原理利用了LENB和LEN计算方法的不同,LEN计算字符数,中英文都算作一个字符:LENB计算字节数,中文算两个字节,英文 ...

  9. MVC 5使用TempData(对象)跨视图传递数据

    在控制器写好TempData:然后在Index.cshtml写一个链接,为了是让用户点击这个链接,能链至PageA()这个Action至. @Html.ActionLink("Show to ...

  10. synchronized使用说明

    好久没有更新博客了,今天试着用简单的语言把synchronized的使用说清楚. synchronized是什么? synchronized是用来保证在多线程环境下代码同步执行的可重入的互斥锁.所谓互 ...