TCP实战抓包分析

最新推荐文章于 2024-05-16 03:09:53 发布
最新推荐文章于 2024-05-16 03:09:53 发布
阅读量3.2k 收藏 7
点赞数 2
分类专栏: 计算机网络 文章标签: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62197295/article/details/124034881
版权

TCP实战抓包分析

学习资源 小林coding 2022.4.8

提纲

显形网络包

  • tcpdump 仅支持命令行使用 常在linux种抓取和分析网络包
  • Wireshark 除了可以抓包 还提供了可视化分析网络包的图形界面

img

ping 网络包img

三次握手分析

  • TCP第一次握手 SYN丢包 RTO翻倍增长

    SYN 超时重传

  • TCP第二次握手 SYN ACK丢包

    • 客户端发起SYN后 防火墙屏蔽数据包 超时 重传SYN包
    • 客户端收到客户的SYN包后 回SYN ACK包 客户端一直没有回ACK 服务端超时重传 SYN ACK
    • 客户端超时重传的SYN又到达服务器 服务端收到后 回SYN ACK
    • SYN ACK重传定时器没有充值 持续重传 超过最大次数

    第二次挥手的SYN ACK丢包时 客户端会超时重发SYN 服务端也会超时重传SYN ACK

    客户端SYN超时重传的最大次数 是由tcp_syn_retries决定的

    服务端SYN ACK包重传的最大次数 是由 tcp_synack_retries 决定

    默认5次

  • TCP第三次握手 ACK丢包

    • 客户端发送SYN包 服务端发送SYN ACK 服务端处于SYN_RECV状态
    • 客户端收到SYN ACK 给服务端发送ACK TCP连接处于ESTABLISHED状态
    • 屏蔽ACK 服务端一直处于SYN_RECV状态
    • 服务端超时重传SYN ACK包 重传4次 没有继续重传 服务端TCP主动连接断开
    • 服务端TCP断开 但是发现客户端仍然处于建立状态 在客户端的telnet发送123456会话
    • 客户端发送的数据报文一直在重传 RTO指数增长

    TCP建立连接后最大超时重传次数是由tcp_retries2指定默认15次

    如果客户端不发送数据 什么时候才会断开处于ESTABLISHED状态的连接

    TCP的保活机制

net.ipv4.tcp_keepalive_time=7200
net.ipv4.tcp_keepalive_intvl=75  
net.ipv4.tcp_keepalive_probes=9

保活时间 2h 两小时内如果没有任何连接相关的活动 则会启动保活i价值

每次检查间隔75s 9次没响应 就中断连接

TCP快速建立连接

客户端在向服务端发起HTTP GET请求的时候 一个完整的交互过程 需要2.5RTT

第三次握手可以携带数据 第三次握手携带数据 需要2RTT

Linux3.7 提供了 TCP Fast Open 功能 可以减少TCP连接建立的时延

  • 在第一次建立连接的时候 服务端在第二次握手产生一个Cookie并通过SYN ACK包一起发送客户端 客户端缓存Cookie 第一次发起HTTP Get 请求的时候 需要2RTT的时延
  • 下次请求的时候 客户端在SYN包带上Cookie发给客户端 Cookie中维护了一些信息 服务端可以从Cookie 获取TCP相关的信息 此时发起的HTTP GET请求只需要1个RTT的时延

TCP重复确认和快速重传

当接收方收到乱序数据包时 会发送重复的ACK 以便告知发送方要重传该数据包 当发送方收到3个重复ACK 就会触发快速重传 立即重发丢失包

启用SACK -> 重传丢失的数据包

TCP流量控制

通过滑动窗口机制 利用接收方的接受窗口来控制发送方要发送的数据量

接收窗口时由接收方指定的值 存储在TCP头部中 可以告诉发送方自己的TCP缓冲空间区大小

整个缓冲区给应用程序读取数据的空间

  • 如果应用程序读取了缓存区的数据 那么缓冲空间区就会把读取的数据移除
  • 如果应用程序没有读取数据 则数据会一直滞留在缓冲区

现实中服务器会出现繁忙的情况 当应用程序读取慢 缓存空间逐渐会被占满 于是为了保证发送方发送端数据不会超过缓冲区大小

服务器则会调整窗口大小的值 接着通过ACK报文通知对方 告知窗口大小

零窗口通知与窗口检测

假设接收方处理数据的速度跟不上接受数据的速度 缓存就会被占满 从而导致接收窗口为0 当发送方接收到零窗口通知时 就会停止发送数据

发送方会定时发送窗口大小探测报文 以便及时知道接收方窗口大小的变化

窗口探测报文 超时时间翻倍递增

发送窗口的分析

win 在向对付声明自己的接受窗口

发送窗口 min(拥塞窗口 接受窗口)

发送窗口与MSS关系

发送窗口决定了一口气发多少字节

MSS决定这些字节要分多少包才能发完

发送方在一个窗口发出n个包 是不是需要n个ACK确认报文

不一定 TCP由累计确认机制 当收到多个数据包时 只需要应答最后一个数据包的ACK报文就可以了

TCP延迟确认与Nagle算法

  • 延迟确认
  • Nagle算法

Nagle算法 如何避免大量TCP小数据报文的传输

Nagle算法做了一些策略来避免过多的小数据报文发送 可以提高传输效率

  • 没有已发送未确认报文时 立即发送数据
  • 存在未确认报文 直到没有已发送未确认报文数据长度达到MSS大小时再发送数据
  • 只要没满足上面条件中的一条 发送方一直在囤积数据 直到满足发送条件

延迟确认

没有携带数据的ACK网络效率很低

40个字节的IP头和TCP头 但却没有携带数据报文

衍生出了TCP延迟确认

  • 当有相应数据要发送时 ACK会随着响应数据一起立刻发送
  • 没有相应数据发送时 ACK将会延迟一段时间 等待是否有相应数据可以一起发送
  • 如果在延迟等待发送ACK期间 第二个数据报文到达 立即发送ACK
一个木的感情的小卷卷
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP 实战分析
一蓑烟雨任平生
08-22 2万+
提纲 正文 显形“不可见”的网络 网络世界中的数据交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学习计算机网络的时候就会觉得非常的抽象,加大了学习的难度。 还别说,我自己在大学的时候,也是如此。 直到工作后,认识了两大分析网络的利器:tcpdump 和 Wireshark,这两大利器把我们“看不见”的数据,呈现在我们眼前,一目了然。 唉,当初大学学习计网的时候,要是能知道这两个工具,就不会学的一脸懵逼。 tcpdump 和 Wireshark 有什么区别? tc...
TCP DUP ACK分析
热门推荐
造梦先森Kai的专栏
05-09 2万+
vm client:172.18.21.57 vm server:172.18.42.13 在 vm client 执行 wget 从 server 下载文件 并进行分析: 1, No.50 为server发送的数据,收到了Seq=113587,Ack=660, Len=2576。 那么client回复的Ack=113587+2576=116163. 即No.51, Seq=660,Ack=116163, Len=0 2, 同时116163也是期望的下一个数据的Seq. 即收到了No.52, Se
使用Wireshark分析TCP协议_wireshark分析tcp协议
最新发布
2401_85015040的博客
05-16 1330
服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求),并且含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1:客户端给服务端返回一个ACK(对服务端连接请求的应答),并更新自己的序列号seq=1,返回一个确认号ack=1。
WireSharkTCP三次握手和四次挥手
子冉冰清的博客
02-23 2657
TCP和UDP TCP报文格式 TCP首部的报文格式如下: 宏观上来看如下: 来源连接端口(16位长)-识别发送连接端口 目的连接端口(16位长)-识别接收连接端口 序列号(seq,32位长): 如果含有同步化旗标(SYN),则此为最初的序列号;第一个数据比特的序列码为本序列号加一。 如果没有同步化旗标(SYN),则此为第一个数据比特的序列码。 确认号(ack,32位长)— 期望收到的数据的开始序列号。也即已经收到的数据的字节长度加1。 数据偏移(4位长)— 以4字节为单位
【数据库测试】tcpdump
test_dog的博客
11-04 3099
tcpdump是一个常用的网络分析工具,可以通过网络传输到本系统的TCP/IP以及其他网络的数据tcpdump使用libpcap库来取网络,可以将网络中传输的数据的头部完全截获进行分析,它支持针对网络层、协议层、主机、网络或端口的过滤,并提供and、or、not等逻辑语句进行过滤。
Wireshark分析TCP协议:三次握手和四次挥手
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-10 5331
面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下。
TCP实战分析 372-420
05-15
TCP实战分析 本文将对TCP实战分析进行详细的解释和分析。 首先,TCP实战分析是指通过使用tcpdump和Wireshark等工具来取和分析TCP协议中的数据tcpdump是一个命令行工具,用于取和分析网络...
实战利用WireShark对Telnet协议进行分析.docx
05-24
Wireshark 分析 Telnet 协议 Wireshark 是一种功能强大的网络分析工具,能够对网络协议进行深入分析。在本文中,我们将使用 Wireshark 对 Telnet 协议进行分析,了解 Telnet 协议的工作原理和实现机制...
p199 - p241TCP实战解析
05-15
TCP 实战解析是网络协议分析的重要部分,是对网络的捕获和分析tcpdump 是一个常用的网络工具,可以捕获网络并将其保存到文件中。Wireshark 是一个功能强大的网络协议分析工具,可以对捕获的网络进行...
各种协议文件
09-12
比如在准备CCNA、CCNP或CCIE等认证考试时,理解并能分析数据将大大提升你的实战能力。在实际工作中,这也能帮助你快速定位网络故障,提高工作效率。 总之,这个压缩提供了一个实践性的平台,让学习者能够深入...
Sniffer分析手册.rar
02-17
《Sniffer 分析手册》是一本深入探讨网络数据捕获与分析的专业书籍,主要针对教育领域,旨在帮助读者理解网络通信的基础原理,掌握网络故障排查和网络安全监测的关键技术。Sniffer 是一种广泛使用的网络嗅探...
实验一 :观察TCP报文
qq_58701255的博客
12-06 4914
实验一 :观察TCP报文、UDP报文
通过研究TCP的连接、传输、断开
Ssolitude123的博客
10-20 2108
其中PSH代表数据,Win代表窗口,Len为数据的长度(不TCP首部),Client发送数据到Server后,确认收到之后发送一个ACK给Client代表已经收到,确认块的Ack为 client发送中的Ack=Seq+Len,代表Server确实收到了。首先我们要明白TCP是面向字节流的可靠连接,UDP是面向报文的不可靠连接。TCP是如何保证可靠性的。SYN和ACK是TCP的标志位。SYN为建立连接请求标志位,FIN为断开请求标志位。9718为Client,8888为Server。
wireshark 分析TCP(学习内容记录)
weixin_74239923的博客
03-29 389
客户端收到了服务端的FIN信令后,进入TIMED_WAIT状态,并发送ACK确认消息。客户端在TIMED_WAIT状态下,等待2MSL一段时间,没有数据到来的,就认为对面已经收到了自己发送的ACK并正确关闭了进入CLOSE状态,自己也断开了到服务端的TCP连接,释放所有资源。第二次挥手:服务端收到FIN后,知道不会再有数据从客户端传来,发送ACK进行确认,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),服务端进入CLOSE_WAIT状态。ACK - 确认接收到的数据)TCP四次挥手示意图。
STM32 TCP和ACK响应慢
wuxinke_blog的专栏
10-12 1414
测试发现100ms一帧的tcp,mcu总是收不全,各种怀疑,三天了都没搞好,经过细心测试,发现110ms以上的tcp帧是可以接受的,100ms或以下的会丢帧丢数据,于是乎猜测可能有一个100ms定时机制。然后找到了下图中这个100,把它改成25ms,接收100ms一帧的tcp就很轻松了,再也不丢帧了呀。使用wireshark的时候,发现mcu的ACK响应速度不稳定,时间长的达到200ms左右,从而导致丢帧。STM32F407+cubeMX+LWIP+TCP client+DP83848@启明星高配版。
TCP ------ 分析(seq ack)
dee53994040的博客
11-27 989
总结: 1、ACK可以和其他合在一起,比如ACK可以携带数据 2、可以接收多个数据后,一次性给一个应答,不用每个数据一一对应给应答 3、在通信过程中,通过接收到的的ack值可以判断是否是上一个本机发送的应答(ack值与上一个本机发送的seq有关),seq值和ack值的确定规则如下:   三次握手:     第一次握手(发送):seq为x(x...
基于工具分析耗时问题
weixin_42962086的博客
02-17 2147
基于工具分析耗时问题 背景 开发了某个http接口,在测试耗时的时候发现,客户端耗时远大于服务端代码打印的耗时,初步判断耗时出在框架和网络层面,主要应该是网络 以这个问题为例,介绍通过tcpdump和ngrep分析耗时的过程 实践 操作步骤 在客户端使用time +curl命令,可以打印出客户端的耗时,示例如下 请求 time curl --location --request GET 'http://10.89.43.18:8083/path' 耗时结果 0.01s user 0.01s
TCP实战
Yeira的博客
05-16 4302
TCP实战——Wireshark 网络调试工具——Wireshark 如何进行 TCP 和调试 接口列表 Whireshark 可以帮你看到整个网络交通情况,也可以帮你深入了解每个封。 选择一个网络接口(Network Interface) Linux 下可以使用ifconfig指令看到所有的网络接口,Windows 下则使用 ipconfig。 开启捕获功能 选择好网络接口之后,点击start 因为整个网络的数据非常多,大量的应用都在使用网络,你会看到非常多数据条目,每个条目是一次数据的发送或者接
TCP协议常规报文分析
qq_32254003的博客
05-15 3417
一、前置说明: 工具采用wireshark 127为主机A 126为主机B 二、报文及对应的头信息: 1.tcp连接建立:三次握手 报文 交互流程 第一次握手:主机A---SYN---->主机B 主机A发送连接请求。主机A想要与主机B进行TCP通信,首先他需要向B发送一个syn同步序列编号syncsynchronized squsequence nu...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值