tcp的连接状态及tcpdump

最新推荐文章于 2024-08-18 21:24:04 发布
最新推荐文章于 2024-08-18 21:24:04 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: linux基础 文章标签: linux tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lysinely/article/details/79005249
版权
###命令-查看tcp状态
netstat -nat  查看TCP各个状态的数量
lsof  -i:port  可以检测到打开套接字的状况
sar -n SOCK 查看tcp创建的连接数
tcpdump -iany tcp port 9000 对tcp端口为9000的进行抓包


##关于tcpdump的用法
host,net,port,
例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.


src , dst ,dst or src, dst and src 
这些关键字指明了传输的方向。src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。


fddi,ip,arp,rarp,tcp,udp   协议类型
Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。


gateway, broadcast,less,greater,
还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&;或运算 是'or' ,'||';
-i指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,
-c指定要监听的数据包数量,
-w指定将监听到的数据包写入文件中保存
-n 不对地址解析
-v/-vv/-vvv 不同程度的详细信息输出


想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 


如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2


如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
tcpdump tcp port 23 host 210.27.48.1


###网络测试用的命令
ping:检测网络连接的正常与否,主要是测试延时、抖动、丢包率。
         对方的IP地址和TTL;
traceroute:raceroute 跟踪数据包到达网络主机所经过的路由工具
nslookup:用于解析域名,一般用来检测本机的DNS设置是否配置正确。


###tcp状态




LISTENING:侦听来自远方的TCP端口的连接请求. 
最主要的是看本机开了哪些端口,这些端口都是哪个程序开的,关闭不必要的端口是保证安全的一个非常重要的方面,服务端口都对应一个服务(应用程序),停止该服务就关闭了该端口;


SYN-SENT:客户端SYN_SENT状态
正常情况下SYN_SENT状态非常短暂,连接成功了ESTABLISHED;
有很多SYN_SENT出现,一般几种情况,一是你要访问的网站不存在或线路不好,二是用扫描软件扫描一个网段的机器,也会出出现很多SYN_SENT,三可能中了病毒了,例如中了"冲击波",病毒发作时会扫描其它机器,这样会有很多SYN_SENT出现。
 
SYN-RECEIVED:服务器端状态SYN_RCVD
当标志位ACK和SYN置1发送给客户端,此时服务器端处于SYN_RCVD状态,如果连接成功了就变为ESTABLISHED,正常情况下SYN_RCVD状态非常短暂,很多SYN_RCVD状态,机器有可能被SYN Flood的DoS(拒绝服务攻击)攻击了


ESTABLISHED:代表一个打开的连接。
netstat -nat |grep 端口或者使用lsof  -i:端口可以检测到。


FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认


FIN-WAIT-2:从远程TCP等待连接中断请求
半关闭的状态了,这是在关闭连接时,客户端和服务器两次握手之后的状态


CLOSE-WAIT:等待从本地用户发来的连接中断请求
CLOSING:等待远程TCP对连接中断的确认
LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认
TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认
2MSL状态  TIME_WAIT2发送了最后一个ACK数据报以后,要进入TIME_WAIT状态,这个状态是防止最后一次握手的数据报没有传送到对方那里而准备的(注意这不是四次握手,这是第四次握手的保险状态)。这个状态在很大程度上保证了双方都可以正常结束,服务器给出了一个平静时间的概念,这是说在2MSL时间内,虽然可以重新启动服务器,但是这个服务器还是要平静的等待2MSL时间的过去才能进行下一次连接。


CLOSED:没有任何连接状态


客户端的状态可以用如下的流程来表示:
CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED


服务器的状态可以用如下的流程来表示:
CLOSED->LISTEN->SYN收到->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED


如果一方已经关闭或异常终止连接,而另一方却不知道,我们将这样的TCP连接称为半打开的
解决意外中断办法都是利用保活机制。而保活机制分又可以让底层实现也可自己实现;
keepalive的原理就是TCP内嵌的一个心跳包,
以服务器端为例,如果当前server端检测到超过一定时间(默认是 7,200,000 milliseconds,也就是2个小时)没有数据传输,那么会向client端发送一个keep-alive packet(该keep-alive packet就是ACK和当前TCP序列号减一的组合)


对于应用程序来说,2小时的空闲时间太长。因此,我们需要手工开启Keepalive功能并设置合理的Keepalive参数。
全局设置可更改/etc/sysctl.conf,加上:
net.ipv4.tcp_keepalive_intvl = 20
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_time = 60

lysinely
关注
专栏目录
使用 tcpdump 抓包分析 TCP 三次握手、四次挥手与 TCP 状态转移
烟云的计算
01-24 2481
目录 文章目录目录前文列表 前文列表 《常用 tcpdump 抓包方式》
TCP连接状态详解以及故障排查
dvlinker的技术专栏
07-30 1367
TCP连接状态详解以及故障排查
LINUX 查看tcp连接数状态
Kevin的专栏
08-19 5223
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'  TIME_WAIT 8947       等待足够的时间以确保远程TCP接收到连接中断请求的确认 FIN_WAIT1 15           等待远程TCP连接中断请求,或先前的连接中断请求的确认 FIN_WAIT2 1            从远程T
Tcpdump 详解(抓包)
最新发布
明日之星
08-18 4825
一、TCPDUMP抓包工具介绍。
TCP的三种主要的网络状态
modi000的博客
09-23 799
通过本文的TCP状态转换,可以看到,TCP连接时有三次握手,TCP断开连接时有四次握手: 之所以是四次握手,是因为TCP 允许半关闭 ESTABLISHED: 服务器、客户端三次握手完成,建立起连接后的状态; FIN_WAIT_2: 主动发起关闭请求的一方,发送FIN(变为FIN_WAIT_1)之后,收到ACK,变为FIN_WAIT_2状态,表明主动发起关闭连接的一方完成半关闭。此时被动关闭的一方的状态是CLOSE_WAIT. TIME_WAIT: 主动发起关闭请求的一方,收到对端发送的FIN,并.
统计TCP状态连接数
weixin_33682790的博客
05-17 460
法一:netstat-n|awk'/^tcp/{++S[$NF]}END{for(ainS)printa,S[a]}' 法二:netstat-an|awk'/^tcp/{print$6}'|sort|uniq-c|sort-nr查看EST状态连接数:[root@cloudboms093lib]#netstat-an...
tcpdump 使用方法
龙宇网的专栏
10-29 3978
 第一种是关于类型的关键字,主要包括host,net,port, 例如 host210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port23 指明端口号是23。如果没有指定类型,缺省的类型是host.第二种是确定传输方向的关键字,主要包括src , dst ,dstor src, dst and s
TCP.rar_TCP连接
09-14
这可能包括检查网络日志,使用网络分析工具(如Wireshark)来捕获和分析网络流量,或者使用命令行工具(如Windows的`netstat`和Linux的`tcpdump`)来监控连接状态。通过这些方法,我们可以发现连接失败的原因,比如...
用于调试tcp连接用于调试tcp连接
12-06
- **netstat**:命令行工具,可以显示TCP连接状态,如ESTABLISHED(已建立)、LISTEN(监听)等。 - **tcpdump**:类似于Wireshark,用于抓取网络包,适用于命令行环境。 - **telnet**:简单网络调试工具,可以...
互联网协议 — TCPTCP 连接(三次握手、四次挥手)
烟云的计算
07-10 4704
目录 文章目录目录抓包分析建立 TCP 连接的三次握手数据传输断开 TCP 连接的四次挥手 抓包分析 Client IP:172.18.128.204 Server TCP Socket:(10.0.0.128, 80) 建立 TCP 连接的三次握手 建立连接时,客户端发送 (SYN=1,seq=x) 数据段到服务器,然后进入 SYN_SENT 状态并等待服务器确认; 服务器收到 (SYN=1,seq=x) 数据段后,返回 (ACK=1, ack=x+1, SYN=1, seq=y) 数据段,服务器进
利用tcpdump抓包工具监控TCP连接的三次握手和断开连接的四次挥手
芳草源的博客
08-05 5001
TCP传输控制协议是面向连接的可靠的传输层协议,在进行数据传输之前,需要在传输数据的两端(客户端和服务器端)创建一个连接,这个连接由一对插口地址唯一标识,即是在IP报文首部的源IP地址、目的IP地址,以及TCP数据报首部的源端口地址和目的端口地址。TCP首部结构如下: 其中在TCP连接和断开连接过程中的关键部分如下: 1.源端口号:即发送方的端口号,在TCP
tcpdump启动脚本
weixin_34204057的博客
02-03 251
最近几月公司接了上海电信新的项目“智慧社区”,此项目中我的角色是FAE,负责项目的现场实施、部署方案、升级方案、运维和客服。电信各部门的接口人每次看见我的口头禅就是“有事找XX”,XX当然就是我的名字啦。呵呵,很无奈吧,这么多事对方都是一个个部门的接口人,到我这就是一个人了。 抛砖引玉就写到这了,言归正传,开始描述孵化出此脚本的过程。 最近几日,研...
TCP连接的建立以及利用tcpdump分析连接建立的过程(转)
weixin_30258901的博客
03-22 130
原文地址:http://www.cnblogs.com/coser/archive/2010/12/05/1968812.html 一、实验目的 实验1_1: 使用Freebsd/Linux操作系统下的C编译器和网络程序的调试方法,掌握TCP连接建立和终止以及调整缓冲区大小的方法。 实验1_2: 使用ethereal/TCPDump等抓包工具,截取TCP建立过程中产生的数据包,分析...
如何利用tcpdump来确定外部设备是否连接服务器?
timchen525的专栏
07-27 1588
如何利用tcpdump来确定外部设备是否连接服务器?
查看tcp连接数
m0_57133702的博客
10-04 3395
一、查看哪些IP连接本机 netstat -an [root@iZ2zeinb1j2xz9m1rtf1eoZ ~]# netstat -an Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:3306 0.0.0.0
3.2.3 使用tcpdump观察TCP头部信息(补充TCP协议的常用知识)
Howl_1的博客
07-25 2277
使用tcpdump观察TCP头部信息和三次握手四次挥手前言实验开始1. 延迟确认2. 位序号(seq)和确认号(ack)之间的关系3. TCP状态转移(书上p41-p42原话)4. FIN_WAIT_2状态5. TIME_WAIT状态6. 细说4)和8)这两个TCP报文段的详细信息 前言 本篇文章为笔者的读书笔记,未经允许请勿转载。如果对你有帮助记得点个赞(●’◡’●) 本次实验是目的在于弄清tcp头部信息和三次握手四次挥手的细节,并且补充一些tcp协议的常用知识。读本文需要一些前置知识,具体请参照《l
通过tcpdump了解TCP连接建立三次握手的具体过程
Hide_on_code的博客
01-19 755
通过tcpdump了解TCP连接建立三次握手的具体过程 tcpdump简介 tcpdump采用命令行方式对接口的数据包进行筛选抓取,其丰富特性表现在灵活的表达式上。 tcpdump命令格式 tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ e...
RabbitMQ能打开的最大连接数
热门推荐
沉底的石头
01-16 5万+
RabbitMQ自带了显示能够接受的最大连接数,有2种比较直观的方式: 1. rabbitmqctl命令。 1 2 3 4 5 6 7 8 9 10 11 12 n$ rabbitmqctl status Status of node 'rabbit@10-101-17-13' ... [{pid,23658}, ...... {file_descripto
TCP连接过程(tcpdump
weixin_45587086的博客
05-11 650
连接和断开 16:46:13.098117 IP x.47398 > 39.156.66.18.http: Flags [S], seq 3833285689, win 64240, options [mss 1460,sackOK,TS val 577056687 ecr 0,nop,wscale 7], length 0 16:46:13.122892 IP 39.156.66.18.http > x.47398: Flags [S.], seq 1625161224, ack 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值