TCP协议讲的头头是道,你却告诉我你不会抓包?

最新推荐文章于 2022-12-10 21:48:32 发布
最新推荐文章于 2022-12-10 21:48:32 发布
阅读量737 收藏 1
点赞数
分类专栏: TCP抓包 网络协议 工具实战 文章标签: nginx http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/breavo_raw/article/details/108928952
版权
本文介绍了在遇到网络通信问题时如何使用ping和telnet初步判断问题,以及通过tcpdump深入分析TCP三次握手和四次挥手,帮助定位网络故障。通过实例展示了tcpdump的使用方法及其在排查网络问题中的重要作用。
摘要由CSDN通过智能技术生成

文章目录

前言

手上的一个项目终于快接近尾声了,鏖战了快3个月了,从各种意义上来讲,这是是目前经手难度最大的项目,没有之一(具体是哪个项目可以看看我之前的文章,哈哈),现在终于有空可以把一直在草稿箱里吃灰的这篇关于网络协议的文章写完发出来了~~

曾经有这么一个尴尬的瞬间,当时我在排查一个接口的通信问题。现象很直接,就是无论如何接口都无法连通。在我抓耳挠腮之时,同事直接灵魂直击:为何不直接抓包看看呢?

我:卧槽…不会…
同事:面试的时候网络协议说的头头是道,怎么一用就不会了呢 = =…

提这件事是因为,当因为通信问题使得系统出现故障时,进行网络抓包是一个非常有效的定位问题的手段,自然而然,我们需要去学习一些抓包的手段帮助我们排查问题。

回顾一下网络协议

当在浏览器中输入URL时,以python系统为例,一般会经历如下过程:

在这里插入图片描述

  1. 浏览器发送请求的时候,首先查询DNS(Domain Name System/域名系统)缓存
  2. 如果DNS缓存中没有,并且host文件中也没有的对应的DNS的话,就会向本地服务器发起一个DNS查询(DNS查询为一个递归的查询)
  3. 如果本地服务器没有查询到,则继续向上往匿名服务器和跟服务器进行查询
  4. 查询到之后,返回DNS对应的IP地址
  5. 得到IP地址后,浏览器调用socket函数发送TCP请求
  6. TCP通过三次握手,与服务器建立链接
  7. 建立链接后,发起HTTP请求
  8. HTTP请求打到Nginx(一般用作负载均衡及反向代理,系统没有配置Nginx的话建议配置一下…)
  9. Nginx将请求转发到WSGI服务器(uwsgi / gunicorn)
  10. WSGI服务器将请求再转发给web框架
  11. web框架处理请求,执行业务逻辑
  12. 将结果(response)通过TCP返回给用户
  13. TCP4次挥手,关闭链接

当某个出现问题时,必然会导致我们的系统不可访问。

尝试去ping/telnet一下

ping

如果页面直接显示浏览器无法打开时,我们可以尝试ping一下,例如:

ping www.baidu.com

其实拿百度做例子是存在一些复杂性的,比如我们ping的域名和输出的域名出现了不一致的现象,想要了解具体原因可以参考:尝试ping百度之后的思考

返回结果如下,我们在返回结果里面加上注释,简单分析一下ping的输出

# ping目标主机的域名和ip: 包的大小(通过设置 -s 展示带包头和不带包头)
PING www.wshifen.com (104.193.88.123): 56 data bytes
# icmp_seq: ping的序列,从1开始,如果数字不是安顺序递增则表示包丢了
# ttl: 一开始以为跟redis的ttl一样,上网查了之后发现其含义是被ping主机那里返回的报文,到了源地址之后,主机报文中预设的TTL减小到还剩下多少
# time: 响应时间,数值越小,联通速度越快
64 bytes from 104.193.88.123: icmp_seq=0 ttl=52 time=171.161 ms
64 bytes from 104.193.88.123: icmp_seq=1 ttl=52 time=155.408 ms
64 bytes from 104.193.88.123: icmp_seq=2 ttl=52 time=157.308 ms
64 bytes from 104.193.88.123: icmp_seq=3 ttl=52 time=154.383 ms
64 bytes from 104.193.88.123: icmp_seq=4 ttl=52 time=173.142 ms
# 这里就是一个包丢了
Request timeout for icmp_seq 5
64 bytes from 104.193.88.123: icmp_seq=6 ttl=52 time=222.386 ms
--- www.wshifen.com ping statistics ---
# 发出去的包数,返回的包数,丢包率
8 packets transmitted, 6 packets received, 25.0% packet loss
# 耗费时间
round-trip min/avg/max/stddev = 154.383/172.298/222.386/23.600 ms

ping命令常用于测试源网络主机到目标网络主机的连通性,同时评估网络连接质量。如果ping的是域名,还能够将域名解析为对应的ip。

OK,虽然有一点点丢包,但是网络基本没啥问题。

telnet

接着我们尝试去telnet一下,与ping不同的是,telnet能够用来探测指定的ip是否开放指定端口,一般服务器默认开放80端口用于http协议通信(https则为443),后端监听端口我们一般使用8000以上。

我们可以使用telnet去检测一下系统服务开放的指定端口是否能够正常访问,基本语法如下

telnet ip port

举个🌰

telnet baidu.com 80

>>> Trying 39.156.69.79...
# 表示已经连接成功
>>> Connected to baidu.com.
>>> Escape character is '^]'.
# 根据提示 crtl + ] 推出
>>> Connection closed by foreign host.

如何判断哪一方的通信存在问题

TCP三次握手 / 四次挥手

这里就直接放两张图上来,TCP整个流程就不在去细述了(差点跑题)。

三次握手
在这里插入图片描述
四次挥手
在这里插入图片描述
文章最开始我们简单回顾了一下TCP网络协议,那么如何在网络出现问题时将这些知识学以致用呢?

下面就来实战一波~~

tcpdump直接抓包

实战开始之前,不得不提一下tcpdump,用来做网络分析简直究极好用,顺便还能巩固一下自己对TCP协议的理解,基本上Unix系统都会默认安装上tcpdump,直接使用即可

我们还是直接用百度来进行测试,为了比较方便的看输出结果,这里我直接使用了百度的其中一个ip 119.75.216.20

先来看看启动监听命令

tcpdump -i en0 host 119.75.216.20 and port 80

简单解析一下命令中用到的一些参数:
-i 表示选择需要捕获的接口,我这里的en0表示的是我机器上的网络接口,这个接口的详细信息可以通过ifconfig命令进行查看
host 意思就很明显了,指明你要监听的域名或者ip
port 指明想要监听的端口,一般我们会想要抓取的是80端口上的流量,即HTTP请求

tcpdump还有着更为复杂的配置及用法,可以满足复杂网络环境下的问题排查,这里就不一一提及了,可自行Google查看。

通过执行上述命令,我们就可以简单的查看端到端之间的网络状况了,那么直接开始执行:

>>> tcpdump -i en0 host 119.75.216.20 and port 80
# 这是一句提醒,我们可以在上述命令上加上 -v / -vv / -vvv 来获取更加详细的流量信息
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
# 监听的网卡为en0,其链路层基于以太网,抓包的大小限制为262144字节
listening on en0, link-type EN10MB (Ethernet), capture size 262144 bytes
...

这时,tcpdump已经开始监听流量了(输出的这两行信息解释见注释),OK,我们打开浏览器,直接在窗口贴上 119.75.216.20 进行访问,然后耐心等待一下终端的输出…

(3 seconds later…)

好,日志打出来了,我们来看看都输出了啥,这里打印出来的日志比较多,我们根据需求直接来看看里面的一些重点信息

23:22:40.639341 IP 192.168.1.101.58177 > 119.75.216.20.http: Flags [S], seq 2761964636, win 65535, options [mss 1460,nop,wscale 6,nop,nop,TS val 695852145 ecr 0,sackOK,eol], length 0
23:22:40.697115 IP 119.75.216.20.http > 192.168.1.101.58177: Flags [S.], seq 2915547593, ack 2761964637, win 8192, options [mss 1452,nop,wscale 5,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,sackOK,eol], length 0
23:22:40.697182 IP 192.168.1.101.58177 > 119.75.216.20.http: Flags [.], ack 1, win 4096, length 0

这三行是最先打印出来的,这个信息就是大家最最熟悉的TCP三次握手的过程了(经典名场面,还不熟的赶紧回去温习一下文章上面TCP握手的流程图)

我们取其中一行分析一下
23:22:40.639341 表示的是抓包的时间,分别为 时 / 分 / 秒 / 微妙

IP 192.168.1.101.58177 > 119.75.216.20.httpIP表示这是一个网络层的IP包,后面紧接着的是源地址ip.源端口 > 目的地址ip.目的端口.协议类型

再往后则是TCP报文的标识Flags, 通过Flags我们可以判断当前TCP正在执行的动作,常见的Flags通常有如下几种:

  • [S] : SYN(开始连接)
  • [.] : 没有 Flag
  • [P] : PSH(推送数据)
  • [F] : FIN (结束连接)
  • [R] : RST(重置连接)

TCP连接完成之后自然就开始进行数据传输

23:22:40.697329 IP 192.168.1.101.58177 > 119.75.216.20.http: Flags [P.], seq 1:484, ack 1, win 4096, length 483: HTTP: GET / HTTP/1.1
23:22:40.753279 IP 119.75.216.20.http > 192.168.1.101.58177: Flags [.], ack 484, win 944, length 0
23:22:40.763540 IP 119.75.216.20.http > 192.168.1.101.58177: Flags [.], seq 1:1453, ack 484, win 944, length 1452: HTTP: HTTP/1.1 200 OK
23:22:40.764813 IP 119.75.216.20.http > 192.168.1.101.58177: Flags [.], seq 1453:2905, ack 484, win 944, length 1452: HTTP
23:22:40.764828 IP 119.75.216.20.http > 192.168.1.101.58177: Flags [P.], seq 2905:4097, ack 484, win 944, length 1192: HTTP
23:22:40.764830 IP 119.75.216.20.http > 192.168.1.101.58177: Flags [P.], seq 4097:4098, ack 484, win 944, length 1: HTTP
23:22:40.764857 IP 192.168.1.101.58177 > 119.75.216.20.http: Flags [.], ack 2905, win 4073, length 0
23:22:40.764858 IP 192.168.1.101.58177 > 119.75.216.20.http: Flags [.], ack 4097, win 4054, length 0
23:22:40.764891 IP 192.168.1.101.58177 > 119.75.216.20.http: Flags [.], ack 4098, win 4054, length 0
...
...

从传输打印的日志上,我们也可以再次直观的了解到,TCP是面向连接的、可靠的、基于字节流的传输层协议

当通信结束,整个页面加载完毕之后,TCP结束当前连接,这里我把日志的最后四行贴出来

23:22:44.708068 IP 192.168.1.101.58200 > 119.75.216.20.http: Flags [F.], seq 607, ack 320, win 4096, length 0
23:22:44.746525 IP 119.75.216.20.http > 192.168.1.101.58200: Flags [.], ack 608, win 948, length 0
23:22:44.746969 IP 119.75.216.20.http > 192.168.1.101.58200: Flags [F.], seq 320, ack 608, win 948, length 0
23:22:44.747012 IP 192.168.1.101.58200 > 119.75.216.20.http: Flags [.], ack 321, win 4096, length 0

这四行就是一次完整的TCP四次挥手(又是一个名场面,四次挥手还不熟的再去回顾一下文章上流程图),输出日志和三次握手差不多,这里就不再赘述了。

至此,一个基本且完整数据传输就被我们清晰的观察到了,可以得出结论,我们本机和百度之前的连接没有任何问题。

那么当你需要排查服务器的网络通信问题时,就可以按照上述方法进行验证,通常从TCP三次握手就可以看出是哪一方的通信存在问题。

上述方法基本可以定位到大多数网络环境问题,针对更加复杂的网络问题排查,我们则可以通过经典的tcpdump + Wireshark 组合对当前网络进行更加详尽的分析,有兴趣的可以自行学习一下。

参考

超详细的网络抓包神器 tcpdump 使用指南

TCP协议灵魂10问

在这里插入图片描述

皇家茶壶
关注
专栏目录
一站式解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 2万+
本文详细解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
Wireshark数据抓包分析之传输层协议TCP协议
ChuMeng1999的博客
07-29 5743
从上面可以很容易的看出,70,73,74帧是tcp的三次握手,428,429,430,431帧是四次断开的数据。分为两部分,即TCP三次握手,四次断开的数据。启动Wireshark,在Filter中输入tcp,点击Apply会看到很多的数据包,这是因为测试环境中,有很多的应用程序,与其服务器连接,使用TCP协议。1024~65535是临时端口组(尽管一些操作对此有着不同的定义),当一个服务想在任意时间使用端口进行通信的时候,操作系统都会随机选择这个源端口,让这个通信使用唯一的源端口。...
TCP/IP协议抓包
yuyin86的专栏
11-01 1398
转至 http://zoukejian.blog.51cto.com/131276/57141 TCP/IP协议抓包 1. 数据包 1)OSI 参考模型:      起源:没有标准通信协议造成的混乱 目标:定义各种网络节点间的通信的框架 目的:通信标准,解决异种网络互连时所遇到的兼容性问题 优点:各层互不干扰;简化开发;快速定位网路故障
linux常用命令-tee
u011394161的博客
10-22 396
简介 在日常使用linux时,有时候需要将标准输入的内容从定向文件,但是同时又想在屏幕上显示看到内容。这是我们可以使用tee命令。tee命令读取标准输入中的内容,把这些内容同时输出到指定的多个文件或标准输出,。 tee命令可以重定向标准输入到多个不同的文件中, tee命令的使用 options -a,--append,将标准输入的内容追加到目标文件,而不是覆盖 -i,--ignore-interrupts,忽略中断信号 演示: 1、使用tee命令将标准输入输出到多个文件 [root@mgr1 ~]
TCP/IP协议抓包分析
lyouhuan的博客
05-31 7399
TCP/IP协议抓包分析
TCP/IP协议簇之HTTP协议
持之以恒,方得始终
09-30 8975
读完本篇文章将会了解以下问题 1.HTTP协议概述及特点 1.1 HTTP协议概述 1.2 HTTP协议特点 2. HTTP报文格式 2.1 HTTP请求报文 2.2HTTP响应报文 3.HTTP请求/响应头参数 3.1 通用请求首部 3.2常用请求头部参数 3.3常用响应头部参数 4.HTTP常用响应状态码 5.HTTP请求中GET和POST的区别 6.一个完整的HTTP请...
HTTP/HTTPS 请求与防抓包
yanwenyuan0304的专栏
05-26 4281
TCP/IP分层 TCP/IP的分层共分为四层:应用层、传输层、网络层、数据链路层; 应用层:向用户提供应用层服务时的通讯活动(ftp、dns、http) 传输层:网络连接中两台计算机的数据传输(tcp、udp) 网络层:处理网络上流动的数据包,通过怎样的传输路径把数据包传送给对方(ip) 网络链路层:与硬件相关的网卡、设备驱动等等 HTTP/HTTPS HTTP HyperText Transfer Protocol (超文本传输协议) 被用于在Web浏览器和网站服务器之间传递信息,在TCP/IP中处
android手机抓包工具 tcp协议,Android常用抓包工具之TcpDump
weixin_33279969的博客
05-25 3964
做为一个测试人员,工作中经常会用到数据抓包工具来进行数据分析和验证,下面就简单介绍一下工作中常用的抓包工具。TcpDump抓包Tcpdump是一个用于截取网络分组,并输出分组内容的工具。它凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。 可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or...
抓包分析tcp协议
最新发布
u010976938的博客
12-10 3733
TcpDump + WireShark 三次握手四次挥手
TCP~HTTP协议与网络抓包
tauvan的博客
11-06 1601
目录一、TCP协议二、HTTP网络协议三、Wireshark抓包软件安装Wireshark 抓包示例分析TCP三次握手四、Fiddler抓包安装抓包演示总结 一、TCP协议 TCP协议全称:传输控制协议TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793 [1 定义。 TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TC
tcpdump的使用,及tcpdump抓不到自己服务器的包(帧)——记录篇
dxgzg的博客
10-07 4757
linux系统有很多块网卡,可以用ifcongig -a打出来,你自己写的服务器一定要监听lo这块网卡,不要监听别的网卡,监听有回环地址的网卡 真是直观的感受到了TCP三次握手和四次挥手,尽管我还有些东西没有看懂 ...
TCP三次握手建立连接
JTSuperman的博客
05-04 805
TCP/IP协议族 是重中之重 ! 欢迎大家评论提问。
海康摄像机rtsp地址格式
qq_31720305的博客
04-28 6026
海康摄像机rtsp地址格式 : ★目前海康录像机、网络摄像机,网络球机的RTSP单播取流格式如下(车载录像机不支持RTSP取流): rtsp://用户名:密码@IP:554/Streaming/Channels/101 →录像机示例: 取第1个通道的主码流预览 rtsp://admin:hik12345@10.16.4.25:554/Streaming/Channels/101 取第1个通道的子码...
tcp的拆包和粘包
weixin_41563161的博客
12-11 880
tcp的拆包和粘包 简介 拆包和粘包是在socket编程中经常出现的情况,在socket通讯过程中,如果通讯的一端一次性连续发送多条数据包,tcp协议会将多个数据包打包成一个tcp报文发送出去,这就是所谓的粘包。而如果通讯的一端发送的数据包超过一次tcp报文所能传输的最大值时,就会将一个数据包拆成多个最大tcp长度的tcp报文分开传输,这就叫做拆包。 一些基本概念 MTU 泛指通讯协议中的最大传输单元。一般用来说明TCP/IP四层协议中数据链路层的最大传输单元,不同类型的网络MTU也会不同,我们普遍使用的以
计算机网络协议包头赏析-TCP
常敲代码手不生
06-08 1143
转载自博客地址为http://roclinux.cn。 仍然先把TCP报文段的格式放在这里,然后我们看图说话: TCP报文段也分为首部和数据两部分,首部默认情况下一般是20字节长度,但在一些需求情况下,会使用“可选字段”,这时,首部长度会有所增加。 下面,我们仍然延续解IP协议的思路,针对不同的域,分别进行解: 【源端口】- 16bit 来源处的端口号
tcp协议抓包详解
哇哦~
07-15 7921
三次握手 握手的目标 抓包 序列号client 和server 是不一样的,也没从0开始 网络报文中报文可能会延迟,会重发,丢失。 为了不影响其他链接,所以是不同的而且是随机的
一文带你掌握Tcpdump命令的使用
非著名运维的博客
03-09 1277
1.tcpdump介绍 在网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具,可以抓取流动在网卡上的数据包。 默认情况下,tcpdump不会抓取本机内部通讯的报文。 根据网络协议栈的规定,对于报文,即使是目的地是本机,也需要经过本机的网络协议层,所以本机通讯肯定是通过API进入了内...
几种常见网络抓包方式介绍
热门推荐
天存信息
05-24 2万+
几种常见网络抓包方式介绍一、网络分流器(TAP)二、有网管功能的小交换机三、用两块网卡的Linux方案四、总结 无论作为网络运维人员,还是安全渗透工程师,在工作中都会无可避免地碰到网络抓包的需求。 对网络运维人员,网络抓包可以: 定位网络里的异常设备; 排查网络性能瓶颈; 了解真实的网络互联状态。 对安全渗透工程师,网络抓包可以: 有助于逆向分析联网型App; 从真实流量中发现可利用的漏洞;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值