技术专栏

tcpdumptcpdump [ -adeflnNOpqStvx ] [ -c数量 ] [ -F 文件名 ] [ -i网络接口 ] [ -r 文件名] [ -s snaplen ][ -T类型 ] [ -w 文件名 ] [表达式]选项介绍：-a 　　　将网络地址和广播地址转变成名字；-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；-dd 　　

TIME_WAIT：主动调用close()发送FIN的一方，收到对方ack及FIN报后状态变为TIME_WAIT，TCP协议规定TIME_WAIT状态会一直持续2MSL（即两倍的分段最大生存期，默认MSL为2分钟），处于TIME_WAIT状态的连接占用的资源不会被内核释放，对应端口默认不能使用，所以作为服务器尽量不要主动断开连接，以减少TIME_WAIT状态造成的资源浪费；BSD、window

98408 16:55:40.447814 192.168.45.182 -> 192.168.45.178 TCP 8790 > 9112 [PSH, ACK] Seq=109220 Ack=136247 Win=118 Len=282客户端发送（PSH+ACK）包，seq=109220，ACK表示下一包期待接收的seq是136247，Win字段表示还能接收118字节，带有282字节数据；

正在listen的socket收到connect后，没有accept时，listen链路recvQ非0，新socket已经建链，而且是ESTABLISHED状态，抓包可以确认tcp自动完成3次握手的：tcp        1      0 10.47.160.67:8020       0.0.0.0:*               LISTEN     tcp        0

SYN Flood攻击又称DOS（Denial Of Service），一般是伪造客户端ip发送大量的syn包，服务端收到syn包后响应syn+ack根本无法到达客户端，服务端重发syn+ack，这个过程中socket处于半链接状态SYN_RECV，并占用一个半链接队列单元。这样的SYN足够多会将半连接队列耗光，导致后续syn包直接丢弃。即使没有攻击，但网络状态很差，服务端处发送syn+ack

TCP Window Full：接收方接收缓冲区满了后，导致发送方的发送缓冲区装满待确认数据，此时发送方会发送一个TCP Window Full消息。TCP ZeroWindow：接收方应用没有及时recv消息，导致接收缓冲满，即滑动窗口为0，接收方发送TCP Zero Window告知发送方不能继续发送消息。TCP ZeroWindowProbe：零窗口探测报文---滑动窗口

注：这些参数说明从网上取得，不记得

在linux环境下获取所有与tcp缓冲区相关的配置：net.ipv4.tcp_mem = 64608        86144   129216net.ipv4.tcp_wmem = 4096        16384   2756608net.ipv4.tcp_rmem = 4096        87380   2756608net.core.wmem_max = 262144

TCP的组包大小控制，默认使用Nagle算法，即协议栈发送队列积压数据超过阀值MSS或收到一个ack确认后，才会发送下一包数据。伪代码逻辑：if there is new data to send  if the window size >= MSS and available data is >= MSS    send complete MSS segment now  e

wireshark http数据包过滤条件列表http.host==6san.comhttp.host contains 6san.com//过滤经过指定域名的http数据包，这里的host值不一定是请求中的域名http.response.code==302//过滤http响应状态码为302的数据包http.response==1//过滤所有的http响应包ht