tcpdump抓取HTTP包

tcpdump抓取HTTP包

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745为“GET”前两个字母“GE”

0x4854为“HTTP”前两个字母“HT”

通常情况下：一个正常的TCP连接，都会有三个阶段

• 1.TCP三次握手
• 2.数据传送
• 3.TCP四次挥手

TCP三次握手（创建OPEN）

1. 客户端发起一个和服务创建TCP连接的请求SYN
2. 服务端接受到客户端的创建请求之后，返回SYN(i)+ACK(j)
3. 客户端在接收到服务端的ACK信息校验成功后(j与j+1),返回一个信息ACK(i+1)
4. 服务端这时接收到客户端的ACK信息校验成功后(i与i+1),不再返回信息，后面进入数据通讯阶段

数据通讯

客户端/服务端 read/write数据包

TCP四次握手

1. 客户端发起关闭请求，发送一个信息:FIN(M)
2. 服务端接受到信息后，首先返回ACK(M+1),表明自己已经收到消息。
3. 服务端在准备好关闭之前，最后发送给客户端一个 FIN(N)消息，询问客户端是否准备好关闭了
4. 客户端接受到服务端发送的消息后，返回一个确认信息: ACK(N+1)
5. 最后，服务端和客户端在双方都得到确认时，各自关闭或者回收对应的TCP连接

详细状态说明

1. SYN_SEND

   • 客户端尝试连接服务端，通过open方法。属于客户端的状态
   • sysctl -w net.ipv4.tcp_syn_retries = 2，作为客户端可以设置SYN包的重试次数，默认5次（大约180s）

2. SYN_RECEIVED

   • 服务器接收创建连接的SYN请求后，发送ACK数据包之前，上述三次握手中的第二步
   • 服务端端口，一般15个左右正常，如果很大，怀疑SYN_FLOOD攻击
   • sysctl -w net.ipv4.tcp_max_syn_backlog=4096,设置该状态的等待队列数，默认1024，调大后可适当防止syn-flood.
   • sysctl -w net.ipv4.tcp_syncookies=1，打开syscookie,在syn backlog队列不足的时候，提供一种机制将临时syn连接换出
   • sysctl -w net.ipv4.tcp_synack_retries=2,作为服务端返回ACK包的重试次数，默认5次（大约180s）

3. ESTABLISHED

   • 客户端接收到服务端的ACK包后的状态，服务端再发出ACK在一定时间后即为这个状态
   • sysctl -w net.ipv4.tcp_keepalive_time = 1200 ，默认为7200秒(2小时)，系统针对空闲链接会进行心跳检查，如果超过net.ipv4.tcp_keepalive_probes * net.ipv4.tcp_keepalive_intvl = 默认11分，终止对应的tcp链接，可适当调整心跳检查频率

4. FIN_WAIT1

   • 主动关闭的一方，在发出FIN请求之后(TCP四次握手第一步)

5. CLOSE_WAIT

   • 被动关闭的一方，在接收到客户端的FIN后（TCP四次握手第二步）

6. FIN_WAIT2

   • 主动关闭的一方，在接收到被动关闭一方的ACK后（TCP握手第三步）

7. LASK_ACK

   • 被动关闭的一方，在发送ACK后一段时间后（确保客户端已收到），再发起一个FIN请求。（TCP四次握手第四步）

8. TIME_WAIT

   • 主动关闭的一方，在收到被动关闭的FIN包后，发送ACK。也就是TCP四次握手的第4步
   • sysctl -w net.ipv4.tcp_tw_recycle = 1 , 打开快速回收TIME_WAIT，Enabling this option is not recommended since this causes problems when working with NAT (Network Address Translation)
   • sysctl -w net.ipv4.tcp_tw_reuse =1, 快速回收并重用TIME_WAIT的链接, 貌 和tw_recycle有冲突，不能重用就回收?
   • net.ipv4.tcp_max_tw_buckets: 处于time_wait状态的最多链接数，默认为180000.

备注：

1. 主动关闭方在接收到被动关闭方的FIN请求后，发送给对方一个ACK后，将自己的状态由FIN_WAIT2修改为TIME_WAIT，而必须再等2MSL（Maximum Segment Lifetime,MSL是一个数据报在internetwork中能存在的时间)时间之后双方才能把状态 都改为CLOSED以关闭连接。目前RHEL里保持TIME_WAIT状态的时间为60秒

2. keepAlive策略可以有效的避免进行三次握手和四次关闭的动作

其他网络重要参数：

1. net.ipv4.tcp_rmem 参数

   • 默认 : min=4096 default=87380 max=4194304

2. net.ipv4.tcp_wmem 参数

   • 默认 : min=4096 default=16384 max=4194304

Tcpdump

tcpdump是linux系统自带的抓包工具，主要通过命令行的方式，比较适合在线上服务器进行抓包操作，如果是windows或者ubuntu完全可 以选择一些图形化的工具，ubuntu比较推荐用wireshark，安装方式很简单sudo apt一下即可。