位置: IT常识 - 正文

linux tcpdump抓取HTTP包的详细解释(linux抓包 udp)

编辑:rootadmin
这篇文章主要介绍了linux tcpdump抓取HTTP包的详细解释,需要的朋友可以参考下... 18-02-17

推荐整理分享linux tcpdump抓取HTTP包的详细解释(linux抓包 udp),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:linux抓tcp包,linux tcpdump 抓包,linux tcpdump 抓包,linux抓取dump文件,linux tcpdump 抓包,linux抓tcp包,linux抓tcp包,linux tcpdump 抓包,内容如对您有帮助,希望把文章链接给更多的朋友!

tcpdump

tcpdump是linux系统自带的抓包工具,主要通过命令行的方式,比较适合在线上服务器进行抓包操作,如果是windows或者ubuntu完全可 以选择一些图形化的工具,ubuntu比较推荐用wireshark,安装方式很简单sudo apt一下即可。

命令行格式:tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ]

常用的参数:-l    使标准输出变为缓冲行形式;-n    不把网络地址转换成名字;

-c    在收到指定的包的数目后,tcpdump就会停止;-i    指定监听的网络接口;(如果没有指定可能在默认网卡上监听,需要指定绑定了特定IP的网卡)-w    直接将包写入文件中,并不分析和打印出来;-s 指定记录package的大小,常见 -s 0 ,代表最大值65535,一半linux传输最小单元MTU为1500,足够了-X 直接输出package data数据,默认不设置,只能通过-w指定文件进行输出

常用表达式:

关于类型的关键字,主要包括host,net,port传输方向的关键字,主要包括src , dst ,dst or src, dst and src协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'||'其他重要的关键字如下:gateway, broadcast,less,greater

实际例子:

1. http数据包抓取 (直接在终端输出package data)

tcpdump tcp port 80 -n -X -s 0 指定80端口进行输出

2. 抓取http包数据指定文件进行输出package

tcpdump tcp port 80 -n -s 0 -w /tmp/tcp.cap

对应的/tmp/tcp.cap基本靠肉眼已经能看一下信息,比如http Header , content信息等

3. 结合管道流

tcpdump tcp port 80 -n -s 0 -X -l | grep xxxx

这样可以实时对数据包进行字符串匹配过滤

4. mod_proxy反向代理抓包

linux tcpdump抓取HTTP包的详细解释(linux抓包 udp)

线上服务器apache+jetty,通过apache mod_proxy进行一个反向代理,80 apache端口, 7001 jetty端口

apache端口数据抓包: tcpdump tcp port 80 -n -s 0 -X -i eth0   注意:指定eth0网络接口jetty端口数据抓包: tcpdump tcp port 7001 -n -s 0 -X -i lo 注意:指定Loopback网络接口

5. 只监控特定的ip主机tcpdump tcp host 10.16.2.85 and port 2100 -s 0 -X 需要使用tcp表达式的组合,这里是host指示只监听该ip

小技巧:

1. 可结合tcpdump(命令) + wireshark(图形化)

操作: 

在服务器上进行tcpdump -w /tmp/tcp.cap 指定输出外部文件scp /tmp/tcp.cap 拷贝文件到你本地wireshark &  启动wireshark通过 File -> Open  打开拷贝下来的文件,这样就可以利用进行数据包分析了剩下来的事就非常方便了

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 为"GET"前两个字母"GE"

0x4854 为"HTTP"前两个字母"HT"

说明: 通常情况下:一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手

里面的几个概念:

SYN: (同步序列编号,Synchronize Sequence Numbers)ACK: (确认编号,Acknowledgement Number)FIN: (结束标志,FINish)

TCP三次握手(创建 OPEN)

客户端发起一个和服务创建TCP链接的请求,这里是SYN(J)服务端接受到客户端的创建请求后,返回两个信息: SYN(K) + ACK(J+1)客户端在接受到服务端的ACK信息校验成功后(J与J+1),返回一个信息:ACK(K+1)服务端这时接受到客户端的ACK信息校验成功后(K与K+1),不再返回信息,后面进入数据通讯阶段

数据通讯

客户端/服务端 read/write数据包

TCP四次握手(关闭 finish)

客户端发起关闭请求,发送一个信息:FIN(M)服务端接受到信息后,首先返回ACK(M+1),表明自己已经收到消息。服务端在准备好关闭之前,最后发送给客户端一个 FIN(N)消息,询问客户端是否准备好关闭了客户端接受到服务端发送的消息后,返回一个确认信息: ACK(N+1)最后,服务端和客户端在双方都得到确认时,各自关闭或者回收对应的TCP链接。

详细的状态说明(以及linux相关参数调整)

SYN_SEND客户端尝试链接服务端,通过open方法。也就是TCP三次握手中的第1步之后,注意是客户端状态sysctl -w net.ipv4.tcp_syn_retries = 2 ,做为客户端可以设置SYN包的重试次数,默认5次(大约180s)引用校长的话:仅仅重试2次,现代网络够了SYN_RECEIVED服务接受创建请求的SYN后,也就是TCP三次握手中的第2步,发送ACK数据包之前注意是服务端状态,一般15个左右正常,如果很大,怀疑遭受SYN_FLOOD攻击sysctl -w net.ipv4.tcp_max_syn_backlog=4096 , 设置该状态的等待队列数,默认1024,调大后可适当防止syn-flood,可参见man 7 tcpsysctl -w net.ipv4.tcp_syncookies=1 , 打开syncookie,在syn backlog队列不足的时候,提供一种机制临时将syn链接换出sysctl -w net.ipv4.tcp_synack_retries = 2 ,做为服务端返回ACK包的重试次数,默认5次(大约180s)引用校长的话:仅仅重试2次,现代网络够了ESTABLISHED客户端接受到服务端的ACK包后的状态,服务端在发出ACK在一定时间后即为ESTABLISHEDsysctl -w net.ipv4.tcp_keepalive_time = 1200 ,默认为7200秒(2小时),系统针对空闲链接会进行心跳检查,如果超过net.ipv4.tcp_keepalive_probes * net.ipv4.tcp_keepalive_intvl = 默认11分,终止对应的tcp链接,可适当调整心跳检查频率目前线上的监控 waring:600 , critial : 800FIN_WAIT1主动关闭的一方,在发出FIN请求之后,也就是在TCP四次握手的第1步CLOSE_WAIT被动关闭的一方,在接受到客户端的FIN后,也就是在TCP四次握手的第2步FIN_WAIT2主动关闭的一方,在接受到被动关闭一方的ACK后,也就是TCP四次握手的第2步sysctl -w net.ipv4.tcp_fin_timeout=30, 可以设定被动关闭方返回FIN后的超时时间,有效回收链接,避免syn-flood.LASK_ACK被动关闭的一方,在发送ACK后一段时间后(确保客户端已收到),再发起一个FIN请求。也就是TCP四次握手的第3步TIME_WAIT主动关闭的一方,在收到被动关闭的FIN包后,发送ACK。也就是TCP四次握手的第4步sysctl -w net.ipv4.tcp_tw_recycle = 1 , 打开快速回收TIME_WAIT,Enabling this option is not recommended since this causes problems when working with NAT (Network Address Translation)sysctl -w net.ipv4.tcp_tw_reuse =1, 快速回收并重用TIME_WAIT的链接,貌似和tw_recycle有冲突,不能重用就回收?net.ipv4.tcp_max_tw_buckets: 处于time_wait状态的最多链接数,默认为180000.

相关说明

主动关闭方在接收到被动关闭方的FIN请求后,发送成功给对方一个ACK后,将自己的状态由FIN_WAIT2修改为TIME_WAIT,而必须 再等2倍的MSL(Maximum Segment Lifetime,MSL是一个数据报在internetwork中能存在的时间)时间之后双方才能把状态 都改为CLOSED以关闭连接。目前RHEL里保持TIME_WAIT状态的时间为60秒keepAlive策略可以有效的避免进行三次握手和四次关闭的动作

其他网络重要参数

net.ipv4.tcp_rmem 参数

默认值: min=4096 default=87380 max=4194304

net.ipv4.tcp_wmem 参数

默认值: min=4096 default=16384 max=4194304

本文链接地址:https://www.jiuchutong.com/zhishi/283552.html 转载请保留说明!

上一篇:如何统计前端项目有多少行代码(前端数据统计图)

下一篇:年度固态硬盘大盘点,哪款ssd性能最好?哪个(固态硬盘近年价格走势)

  • 怎么看快手是不是新用户(怎么看快手是不是最新版本)

    怎么看快手是不是新用户(怎么看快手是不是最新版本)

  • qq浮窗设置在哪里设置(qq浮窗设置在哪设置小米)

    qq浮窗设置在哪里设置(qq浮窗设置在哪设置小米)

  • 华为nova4e能绑定门禁卡吗(华为nova4e如何绑定门卡)

    华为nova4e能绑定门禁卡吗(华为nova4e如何绑定门卡)

  • 取消隐藏快捷键(excel取消隐藏快捷键)

    取消隐藏快捷键(excel取消隐藏快捷键)

  • cpu风扇调pwm还是dc(cpu风扇转速pwm)

    cpu风扇调pwm还是dc(cpu风扇转速pwm)

  • 6.62英寸的手机有多大(6.62英寸的手机长宽多少)

    6.62英寸的手机有多大(6.62英寸的手机长宽多少)

  • 爱奇艺不能截图怎么回事(爱奇艺不能截图截屏嘛)

    爱奇艺不能截图怎么回事(爱奇艺不能截图截屏嘛)

  • 华为的备忘录在哪里打开(华为的备忘录在电脑哪个文件夹)

    华为的备忘录在哪里打开(华为的备忘录在电脑哪个文件夹)

  • 拼多多发起拼单不想要了怎么办(拼多多发起拼单和参与拼单的区别)

    拼多多发起拼单不想要了怎么办(拼多多发起拼单和参与拼单的区别)

  • 荣耀20pro可以当遥控器使用吗(荣耀20pro支持nfc吗)

    荣耀20pro可以当遥控器使用吗(荣耀20pro支持nfc吗)

  • ip截图是什么意思(ipd 截屏)

    ip截图是什么意思(ipd 截屏)

  • 腾讯会议是免费的吗(腾讯会议收费)

    腾讯会议是免费的吗(腾讯会议收费)

  • 拼多多如何取火车票(拼多多怎么取)

    拼多多如何取火车票(拼多多怎么取)

  • 手机虚拟键在哪里设置(手机虚拟键怎么调出来)

    手机虚拟键在哪里设置(手机虚拟键怎么调出来)

  • 开热点为什么别人用不了(开热点为什么别人用着很卡)

    开热点为什么别人用不了(开热点为什么别人用着很卡)

  • 开始运行快捷键(开始运行快捷键win7)

    开始运行快捷键(开始运行快捷键win7)

  • 冯诺依曼计算机结构(冯诺依曼计算机的硬件系统的功能部件)

    冯诺依曼计算机结构(冯诺依曼计算机的硬件系统的功能部件)

  • 怎样把手机音乐下载到u盘(怎样把手机音乐下载到u盘上)

    怎样把手机音乐下载到u盘(怎样把手机音乐下载到u盘上)

  • 一加7和一加7t区别(一加7t和一加7p)

    一加7和一加7t区别(一加7t和一加7p)

  • vue怎么让照片不动(vue怎么让照片放慢一点)

    vue怎么让照片不动(vue怎么让照片放慢一点)

  • 华为mate30怎么关闭开发者模式(华为mate30怎么关机重启)

    华为mate30怎么关闭开发者模式(华为mate30怎么关机重启)

  • 联动云退押金多久到账(联动云退押金多少钱)

    联动云退押金多久到账(联动云退押金多少钱)

  • 平板电脑怎么用(平板电脑怎么用键盘玩和平精英)

    平板电脑怎么用(平板电脑怎么用键盘玩和平精英)

  • 金立gn8002s什么型号(金立gionee gn8002)

    金立gn8002s什么型号(金立gionee gn8002)

  • qclean.exe - qclean是什么进程 有什么用

    qclean.exe - qclean是什么进程 有什么用

  • 租厂房土地使用税
  • 小微企业税收新政
  • 房产税的计税依据包含增值税吗
  • 企业购车发票怎么查询
  • 小规模企业免征增值税如何做账
  • 增值税发票四舍五入
  • 红字发票和蓝字一样吗
  • 厨房酒店用品
  • 索赔费用项目
  • 增值税负数发票可以作废吗?
  • 货币形式投资的特点是
  • 材料验收入库款项尚未支付
  • 销售费用包括哪些二级科目
  • 公司从银行贷款需要交税吗
  • 季度交的企业所得税怎么做账
  • 哪些税不适用征管法
  • 耕地占用税为什么属于房地产开发成本
  • 营改增对金融服务业税负的影响
  • 税务行业软件
  • 销售不动产预收款纳税义务发生时间
  • 房屋使用权转让合法吗
  • 贸易公司收到货款会计分录
  • 主营业务收入会计分录怎样写
  • 这个月只开了销项负数怎么办
  • 一般纳税人取得免税农产品进项怎么抵扣
  • 增值税发票已经认证可以撤销吗?
  • 应付款项余额
  • 红魔3和一加7pro哪个好
  • 金蝶系统怎么修改库存数量
  • 计算机视觉就业前景
  • 处置二手固定资产
  • php格式图片
  • 盈余公积金可以用来扩大公司生产经营
  • 专利权属于什么会计科目
  • vue用法
  • 好用的移动端ui框架
  • 路径规划的基本流程和方法
  • mount.nfs an incorrect mount
  • 银行存放中央银行准备金的会计处理
  • 增值税留抵税额科目如何使用
  • 建筑企业预缴所得税款税率
  • 增值税不超过10万免征
  • 补充医疗相关政策
  • 帝国cms视频教程
  • 清包工一般计税如何开票
  • 个税系统经营所得人员怎样添加
  • 哪些固定资产是按8年折旧的
  • 公司注销其他应收款怎么冲平
  • 残疾人保障金的工资总额怎么填
  • mongodb reactive
  • 培训费 会议费
  • 其他综合收益转入盈余公积和未分配利润
  • 企业销售收入的确认应具备哪些条件
  • 人工费用计入
  • 建信融通e信通怎样转让
  • 房地产开发结转流程
  • 关于预付账款的说法正确的有
  • 发生额怎么计算
  • 重组合并
  • winsvc是什么进程
  • win8系统升级
  • win101607怎么升级1903
  • ubuntu x
  • centos7启动卡在界面
  • win8 系统设置
  • 磁盘分区右键是灰色的
  • opengl实现光线追踪
  • python爬虫正则
  • 如何用jquery
  • javascript教程
  • node.js介绍
  • LinearLayout layout_weight解析
  • python例子大全
  • jquery formbuilder
  • 房地产开发企业会计制度
  • 税务八项规定日期怎么写
  • 税务编号是什么 个人
  • 公司买的保险怎么查询保单明细
  • 溧水到南京南地铁大站快车时刻表
  • 内审工作流程及内审中常见的问题
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设