tcpdump抓包分析网络流量 & 网络知识交流 -- 不停更新中！

网络知识储备

1、三次握手、四次挥手

tcpdump抓包分析握手和挥手

2、linux网络工具

arping ping nc …

3、iptables

iptables初探

4、计算机网络知识入门

计算机网络
TCP/IP协议
考试题

5、网络培训议题@2

网络培训议题@2

工具使用

1、追踪流 -> TCP流

2、TCP序列号（Sequence Number） 应用为列

3、视图 -> 时间显示格式

4、筛选列

5、TCP Wireshark网络抓包分析和问题解决说明

https://cloud.tencent.com/developer/article/1982402


帧：物理层、链路层

包：网络层

段：传输层、应用层

IP包头 && TCP包头

6、着色规则

7、性能“三板斧”

Statistics–>Summary

Statistics–>Service Response Time–>ONC-RPC–>Program:NFS Version:3–>Create Stat

Analyze–>Expert Info Composite，从Error和Warning里都没有看到报错，这说明网络没有问题。假如有重传、乱序之类的现象，应该能在这个窗口里看到。

》》》相关概念解释

1、传输层

传输层是计算机网络体系结构中的一层，位于网络层和应用层之间。它负责将数据从源主机传输到目标主机，提供可靠的、端到端的通信服务。

以下是对于传输层中几个重要概念的详细解释：

1. TCP序列号（Sequence Number）: 在TCP（传输控制协议）中，每个发送的字节都会被编号，这个编号就是TCP序列号。通过序列号，接收方可以按照正确的顺序重新组装接收到的数据报文段，并检测是否有丢失或者重复的数据。 【递增】

2. 确认号（Acknowledgement Number）: 在TCP中，接收方使用确认号告知发送方已成功接收到哪个序列号之前的所有数据。发送方则根据确认号来确定哪些数据已经成功传输，以及哪些数据需要重新发送。

3. MSS（Maximum Segment Size）: MSS是在TCP连接中定义的最大分段大小。它指定了每个TCP分段（或者称为报文段）所能携带的最大数据量。MSS的大小由网络设备或操作系统决定，受到链路层MTU（最大传输单元）的限制。

4. 接收窗口（Receive Window）: 接收窗口是接收方告知发送方自身缓冲区的可用空间大小。发送方根据接收窗口的大小，控制发送的数据量。

5. • 拥塞窗口（Congestion Window）：拥塞窗口是指在网络通信中发送方允许发送的未确认数据量的上限。它用于控制发送方发送数据的速率，以避免过度拥塞网络。当网络拥塞时，拥塞窗口会减小，从而降低发送方的发送速率；当网络状况好时，拥塞窗口会增大，提高发送方的发送速率。

6. 时延（Latency）：时延是指数据从发送方到接收方的传输延迟时间。它包括以下几种类型：

• 发送时延（Transmission Delay）：数据从发送方主机传输到网络的时间。
• 传播时延（Propagation Delay）：数据在网络传播的时间，取决于物理距离和传输介质的特性。
• 处理时延（Processing Delay）：数据在路由器或交换机等网络设备上处理的时间。
• 排队时延（Queueing Delay）：数据在网络设备的缓冲队列中等待传输的时间。

7. 重复确认（DupAck）：在网络通信中，当接收方收到一个已经接收过的数据包时，它会发送一个重复确认(DupAck)给发送方。这是为了告知发送方发生了数据包的重复。
   

8. 选择性确认（Selective Ack）：选择性确认是一种机制，用于确认接收方成功接收到连续的数据包序列中的哪些部分。通过选择性确认，接收方可以告知发送方哪些数据包已经到达，以及哪些数据包需要重新传输。

9. 重传（Retransmission）：重传是指在网络通信中，如果发送方没有收到对应的确认消息或者接收方检测到数据包丢失，就会重新发送相同的数据包给接收方。重传机制保证了数据的可靠性和完整性，使数据能够成功传输至目标端。
   

10. 丢包（Packet loss）：传输层的丢包是指在计算机网络中，传输层协议（如TCP或UDP）在数据传输过程中发生的数据包丢失现象。当数据包在传输过程中未能到达目的地时，就被称为丢包。

    造成传输层丢包的原因可以有多种：

    网络拥塞：当网络负载过重或出现瓶颈时，传输层可能无法及时处理所有的数据包，从而导致一些数据包丢失。

    传输错误：在数据包传输过程中，可能会出现传输错误，例如位错误、帧错误等。这些错误可能导致接收方无法正确解析数据包，从而丢弃该数据包。

    路由器故障：网络中的路由器可能会遇到故障或异常情况，导致数据包在路由器之间丢失。

    数据包冲突：当多个数据包同时发送到网络中的相同位置时，可能会发生数据包冲突，导致其中一些数据包丢失。

    传输层丢包会对网络通信的可靠性和性能产生影响。在使用TCP协议的情况下，当一个数据包丢失时，发送端会重新发送该数据包，以确保数据的完整性。然而，这也会导致额外的延迟和带宽占用。

2、网络层

网络层是计算机网络体系结构中的一层，它负责在不同主机之间传输数据包。网络层提供了一种将数据包从源主机发送到目标主机的机制，同时还处理路由和转发等功能。

以下是网络层中几个重要概念的详细解释：

1. IP（Internet Protocol）： IP是互联网协议，它定义了在网络上传输数据的格式和规则。IP负责将数据分割成小的数据包，并为每个数据包分配源和目标IP地址。

2. TTL（Time to Live）： TTL是IP数据包中的一个字段，用于控制数据包在网络中的生存时间。每当数据包经过一个路由器时，TTL的值就会减少。如果TTL的值变为0，该数据包将被丢弃。TTL的作用是防止数据包在网络中无限循环。

3. MTU（Maximum Transmission Unit）： MTU指的是网络中能够传输的最大数据包大小。当数据包的大小超过MTU时，它必须被分割成更小的片段进行传输，然后在目标主机上重新组装。

4. 路由表：是在计算机网络中用于确定数据包传输路径的一种数据结构。它通常由路由器或交换机等网络设备维护和使用。

   路由表中包含了网络层地址（例如IP地址）和相应的下一跳信息。每个条目表示一个目标网络，其中包括目标网络的地址和与之关联的下一跳信息。下一跳信息指示了数据包在该网络上的出口接口，以便将数据包转发给正确的目标。

   当一个数据包到达路由器时，路由器会根据数据包的目标地址查询路由表，找到与目标地址最匹配的条目。这通常涉及将目标地址与路由表中的目标网络进行比较，并选择具有最长前缀匹配的条目。然后，路由器将数据包发送到与该条目关联的下一跳。

   路由表是动态更新的，即根据网络状态和配置变化而随时改变。路由器可以通过路由协议（如OSPF、BGP等）来学习和共享路由信息，以确保路由表的准确性和实时性。

   总结来说，网络层的路由表是一种用于确定数据包传输路径的数据结构，它存储了网络层地址和相应的下一跳信息，帮助路由器选择正确的路径将数据包从源主机传输到目标主机。

疑问点

1、sq (raw) 和 sq 的区别

Sequence Number（raw） & Sequence Number
https://blog.csdn.net/hl_java/article/details/110733661

2、RST重置

RST（Reset）和ACK（Acknowledgment）是 TCP 协议中的两种标志位。

RST：RST 是 TCP 头部中的一个标志位，用于重置连接或拒绝连接。当发送方收到不合法的、意外的或无法识别的数据包时，可以发送 RST 给对方来中断当前的连接。RST 也可以作为连接的初始化过程中的某个步骤，例如用于关闭已经建立的连接。

ACK：ACK 是 TCP 头部中的另一个标志位，表示确认应答。当接收方成功接收到一个数据包后，会向发送方发送一个 ACK 标志位设置为有效的确认应答，告知发送方该数据包已经接收到。ACK 还在 TCP 的确认机制中起着重要的作用，用于保证可靠的数据传输。

在 TCP 协议的通信过程中，RST 和 ACK 可以单独使用，也可以同时使用。例如：

发送 RST：当连接出现异常或错误时，发送方可以发送 RST 来立即中断连接，使通信双方回到初始状态。
发送 RST+ACK：当接收到一个非法或未预期的数据包时，发送方可能会发送 RST+ACK 的组合来中断连接并向对方发送确认。
需要注意的是，RST 和 ACK 是 TCP 头部中的控制标志位，用于在连接建立、数据传输和连接终止等阶段进行通信和处理。它们是 TCP 协议中重要的机制之一，保证了连接的可靠性和正确性。

3、开启kube-proxy后不用开启iptables服务？

kube-proxy 运行在所有节点上，它监听 apiserver 中 service 和 endpoint 的变化情况，创建路由规则以提供服务 IP 和负载均衡功能。简单理解此进程是Service的透明代理兼负载均衡器，其核心功能是将到某个Service的访问请求转发到后端的多个Pod实例上，而kube-proxy底层又是通过iptables和ipvs实现的。

https://www.winkp.com/109.html

4、开启kube-proxy后iptables -L

The given output shows the chain KUBE-SERVICES with several rules. These rules are part of the iptables firewall configuration on a system running Kubernetes.

Each rule has the following format:

REJECT     tcp  --  <source>             <destination>        /* <comment> */ tcp dpt:<port> reject-with icmp-port-unreachable

Let’s break down one of the rules as an example:

REJECT     tcp  --  anywhere             246.98.33.145        /* qfusion-admin/mysql-0186df601:mysql has no endpoints */ tcp dpt:mysql reject-with icmp-port-unreachable

• REJECT: This action indicates that the traffic matching this rule will be rejected.
• tcp: Only TCP traffic is affected by this rule.
• anywhere: The source of the traffic can be from anywhere.
• 246.98.33.145: The destination IP address to which the traffic is being targeted.
• qfusion-admin/mysql-0186df601:mysql has no endpoints: A comment explaining the reason for this rule, which in this case states that the specified service (mysql) does not have any reachable endpoints.
• tcp dpt:mysql: The destination port for the traffic is MySQL (port 3306).
• reject-with icmp-port-unreachable: If the traffic matches this rule, it will be rejected, and an ICMP “port unreachable” message will be sent back to the source.

These rules are used to control network traffic in Kubernetes clusters. In this case, they are rejecting incoming TCP traffic to specific destinations because the corresponding services do not have any available endpoints.

5、为什么服务器集群网络可以直接插到交换机就可以内部信通了？

https://blog.csdn.net/weixin_43263566/article/details/127980369

案例

TCP Retransmission

https://blog.csdn.net/Jailman/article/details/129156166

TCP Dup ACK

TCP ACKed unseen segument

TCP RST