linux命令抓取TCP包

最新推荐文章于 2024-07-24 12:05:54 发布
最新推荐文章于 2024-07-24 12:05:54 发布
阅读量2.0k 收藏 4
点赞数
分类专栏: 网络协议 文章标签: linux tcpip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41069581/article/details/108097969
版权

三次握手
四次分手
使用tcpdump抓取TCP包
使用exec连接redis
套接字

实践前先简单介绍下三次握手和四次分手

三次握手

TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接,如下图所示:
在这里插入图片描述

  1. 第一次握手:建立连接时,客户端A发送SYN包(SYN=i)到服务器B,并进入SYN_SEND状态,等待服务器B确认。
  2. 第二次握手:服务器B收到SYN包,必须确认客户A的SYN(ACK=i+1),同时自己也发送一个SYN包(SYN=k),即SYN+ACK包,此时服务器B进入SYN_RECV状态。
  3. 第三次握手:客户端A收到服务器B的SYN+ACK包,向服务器B发送确认包ACK(ACK=k+1),此包发送完毕,客户端A和服务器B进入ESTABLISHED状态,完成三次握手。

四次分手

连接释放需要发送4次报文才能完成. 这是因为TCP连接是全双工的, 每一端都需要对读写部分分别进行关闭才行. 当一端关闭读/写或者都关闭时, 该端就会向对象发送FIN来告知对端我将要关闭了, 对端知道后挥发送确认, 关闭端确认后再发送一个确认给对端. 整体就是首先进行关闭的一方将执行主动关闭, 而另一方执行被动关闭.在这里插入图片描述

在这里插入图片描述

  1. 客户端进程发出连接释放报文,并且停止发送数据。释放数据报文首部,FIN=1,其序列号为seq=u(等于前面已经传送过来的数据的最后一个字节的序号加1),此时,客户端进入FIN-WAIT-1(终止等待1)状态。 TCP规定,FIN报文段即使不携带数据,也要消耗一个序号。
  2. 服务器收到连接释放报文,发出确认报文,ACK=1,ack=u+1,并且带上自己的序列号seq=v,此时,服务端就进入了CLOSE-WAIT(关闭等待)状态。TCP服务器通知高层的应用进程,客户端向服务器的方向就释放了,这时候处于半关闭状态,即客户端已经没有数据要发送了,但是服务器若发送数据,客户端依然要接受。这个状态还要持续一段时间,也就是整个CLOSE-WAIT状态持续的时间。
  3. 客户端收到服务器的确认请求后,此时,客户端就进入FIN-WAIT-2(终止等待2)状态,等待服务器发送连接释放报文(在这之前还需要接受服务器发送的最后的数据)。
  4. 服务器将最后的数据发送完毕后,就向客户端发送连接释放报文,FIN=1,ack=u+1,由于在半关闭状态,服务器很可能又发送了一些数据,假定此时的序列号为seq=w,此时,服务器就进入了LAST-ACK(最后确认)状态,等待客户端的确认。
  5. 客户端收到服务器的连接释放报文后,必须发出确认,ACK=1,ack=w+1,而自己的序列号是seq=u+1,此时,客户端就进入了TIME-WAIT(时间等待)状态。注意此时TCP连接还没有释放,必须经过2∗∗MSL(最长报文段寿命)的时间后,当客户端撤销相应的TCB后,才进入CLOSED状态。
  6. 服务器只要收到了客户端发出的确认,立即进入CLOSED状态。同样,撤销TCB后,就结束了这次的TCP连接。可以看到,服务器结束TCP连接的时间要比客户端早一些。

参考https://blog.csdn.net/qzcsu/article/details/72861891?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.add_param_isCf&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.add_param_isCf

使用tcpdump抓取TCP包

下面用LINUX的curl和tcpdump命令进行抓包监听
这里我用VMware开了一个虚拟机
在这里插入图片描述
直接使用curl命令访问百度,可以看到直接返回的主体内容

curl www.baidu.com

在这里插入图片描述
这样还看不到具体的TCP的连接过程,所以这里我用Xshell连上我的VMware的那一个虚拟机。
在这里插入图片描述
然后使用tcpdump命令(没有需要使用yum 安装)监听80端口。

另外说一下Http协议是建立在TCP协议基础之上的,当浏览器需要从服务器获取网页数据的时候,会发出一次Http请求。Http会通过TCP建立起一个到服务器的连接通道,当本次请求需要的数据完毕后,Http会立即将TCP连接断开,这个过程是很短的。所以Http连接是一种短连接,是一种无状态的连接。所谓的无状态,是指浏览器每次向服务器发起请求的时候,不是通过一个连接,而是每次都建立一个新的连接。如果是一个连接的话,服务器进程中就能保持住这个连接并且在内存中记住一些信息状态。而每次请求结束后,连接就关闭,相关的内容就释放了,所以记不住任何状态,成为无状态连接。

tcpdump -nn  -i ens33 port 80

tcdump命令详解

这里就可以看tcpdump正在监听网络接口ens33,端口号80的tcp数据包
在这里插入图片描述
然后我在使用curl 访问百度,第一张图返回请求的数据,第二张为tcpdump的监听结果
在这里插入图片描述
在这里插入图片描述
这张图就可以看到整个访问过程。前三行就为TCP的三次握手。第4排为本地主机向百度服务器发起的请求头长度为77字节,然后第五排为百度服务器确认收到本地主机的请求,第6排就为百度服务器返回1360字节的响应头,第7排为本地机确认收到百度服务器的响应头,然后后面两排就为收到返回内容和确认收到。最后四排就为TCP的分手请求。这是一个HTTP请求,但是底层还是依赖的TCP协议。

使用exec连接redis

这里我还用一个例子来单独演示TCP请求,我用Redis来做演示,Redis的通信协议是TCP。

这里我使用是我的远程服务器,使用docker里面redis容器做演示。
在这里插入图片描述
这里使用tcpdump监听网络接口ens33,端口号6379的tcp数据包
在这里插入图片描述

然后切回到我的本地主机使用以下命令

exec 6<> /dev/tcp/host/6379
# 6是文件修饰符
# host填主机地址,如127.0.0.1

在这里插入图片描述

$$ 表示当前运行程序的PID

这里使用这条命令后可以看到这里这里面建立了一个socket连接,然后切换回刚才那个监听窗口,可以看到这里输出了TCP的3次握手的详细信息。
在这里插入图片描述
然后使用echo “keys *” >& 6 写入fd6中,可以看到返回的keys
在这里插入图片描述
最后我使用exex 6<& - 关闭fd6(关掉那个socket连接)。
在这里插入图片描述
这里切回监听窗口可以看见多了4条断开TCP连接的信息
在这里插入图片描述
这就是一个完整的使用tcp建立连接,发送数据,断开连接的过程。

套接字

最后说一个比较关键的东西socket(套接字)。TCP的端点叫做套接字,即端口号和ip拼到一起变组成了一个套接字,进行通讯时它们之间就是通过
{ip1:port1}:{ip2:port2}建立TCP连接。
在这里插入图片描述
使用lsof -p $$ 命令可以看到连接redis创建的两个套接字

lsof 命令可以查看进程打开的文件、目录,还可以查看进程监听的端口等 socket 相关的信息
在这里插入图片描述

写到最后想说,实践才能完全了解这些以为不起眼的东西!!!

草莓味软糖
关注
专栏目录
Linux命令tcpdump的使用
谢公子的博客
12-16 2万+
linux下,可以使用 tcpdump 命令抓取数据。 主要用法如下: 过滤网卡 tcpdump -i eth0 #抓取所有经过网卡eth0数据 tcpdump -i lo #抓取环回口的数据 过滤主机/IP tcpdump host 192.168.10.10 #抓取所有IP为192.168.10.10的数据 tcpdump src ho...
linux抓取tcp报文头部,3.2.3 使用tcpdump观察TCP头部信息
weixin_42119281的博客
05-15 924
3.2.3 使用tcpdump观察TCP头部信息在2.3节中,我们利用tcpdump抓取了一个数据并分析了其中的IP头部信息,本节分析其中与TCP协议相关的部分(后面的分析中,我们将所有tcpdump抓取到的数据都称为TCP报文段,因为TCP报文段既是数据的主要内容,也是我们主要讨论的对象)。为了方便阅读,先将该TCP报文段的内容复制于代码清单3-1中。代码清单3-1 用tcpdump抓取数...
linux tcp
t949500898的博客
09-16 1070
tcpdump是linux下的网络数据截获分析工具。在linux的日常网络管理中,tcpdump的使用频率很高,熟练掌握对提高工作效率很有帮助。 支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。 简介 网络数据截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。 tcpdump - dump traffic on a network 例子 不指定任何参数 监听第一块网卡上经过的数据
Linux网络编程之TCP
最新发布
Xpccccc的博客
07-24 1329
Linux网络编程之TCP
java linux怎么tcp_Linux使用tcpdump抓取网络数据示例
weixin_39704314的博客
02-13 142
tcpdump是linux命令行下常用的的一个工具,记录一下平时常用的方式,测试机器系统是ubuntu 12.04。tcpdump的命令格式tcpdump的参数众多,通过man tcpdump可以查看tcpdump的详细说明,这边只列一些笔者自己常用的参数:tcpdump [-i 网卡] -nnAX '表达式'各参数说明如下:-i:interface 监听的网卡。-nn:表示以ip和port的...
Linux 工具——tcpdump
QQ156881887的专栏
07-01 692
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据进行截获的分析工具。tcpdump可以将网络中传送的数据的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。再简单一点就是:抓取网卡上传输的数据流。再简单些:
linux下使用tcpdump抓取数据
new9232的博客
05-02 1万+
我们都知道windows系统下有强大的wireShark工具,Linux下则可以使用tcpdump进行tcpdump命令格式 tcpdump option proto dir type option : 可选参数 -w 写数据到文件 -r 从文件读数据 -A 以ASCII码方式显示每一个数据(不显示链路层头部信息). 在抓取含网页数据的数据时, 可方便查看数据 proto : 协议。 tcp udp ether wlan ip ip6 dir : 方向。 .
Linux下使用tcpdump的实现方法
01-11
tcpdump是Linux下面的一个开源的工具,和Windows下面的wireshark工具一样, 支持抓取指定网口、指定目的地址、指定源地址、指定端口、指定协议的数据。 1、安装tcpdump yum install -y tcpdump 2、常见的...
linux抓取tcp为3302的数据,tcpdump在bond环境下到重复报文的问题说明
weixin_28880179的博客
05-12 1214
文章目录[隐藏]环境说明网络结构问题说明分析处理总结近期在排查问题时, 使用 tcpdump 发现一个很奇怪的现象, 所有到的都有重复的一份, 使用 wireshark 查看则表现为 tcp out of order, tcp dup ack 以及 tcp retransmission 这三种提示特别多, 如下图所示:我们在 centos 6 和 centos 7 系统中验证都有这样的问题...
linux网卡命令,基于Linux Socket实现的网卡程序
weixin_29582621的博客
04-28 1057
【前言】通过对数据的分析,我们可以判断通信双方的操作系统、网络信息流量、经过的路由、数据的大小,以及数据的内容等等。尤其对于喜欢网络安全的人来说,掌握这方面的知识是相当重要的。本文介绍一个基于Linux平台实现的网络工具。0.基础知识在Linux环境下,可以使用rawsocket,即原始套接字,接收本机网卡上的数据帧或者数据,实现对与监听网络的流量和分析是很有作用的。一共可以有3种方式...
tcpdump 抓取网络linux版本,android也可以用
02-17
执行命令可能是 `adb push tcpdump /data/local/tmp/tcpdump`,然后 `adb shell` 进入设备终端,通过 `su` 获取root权限,最后运行 `/data/local/tmp/tcpdump -i any` 开始。 标签中的“java”和“apache”暗示...
linux中如何进行tcp
weixin_45932626的博客
03-24 339
tcpdump语法格式: tcpdump [-adeflnNOpqStvx][-c<数据数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据文件>][-s<数据大小>][-tt][-T<数据类型>][-vv][-w<数据文件>][输出数据栏位] tcpdump主要参数说明: 1、-a 尝试将网络和广播地址转换成名称。 2、-c<数据数目> 收到指定的数据数目后,就停止进
linux-tcpdump
小蔡的博客
01-05 3485
文章目录1.tcpdump简介2.tcpdump参数3.tcpdump过滤器4.tcpdump常用操作 1.tcpdump简介 tcpdump是linux平台的工具,可以抓取TCP/IP协议的数据,网络协议,主机,端口,还提供and,or,not等逻辑语句过滤信息。 2.tcpdump参数 tcpdump帮助查看 tcpdump -h, man tcpdump [root@master ~]# tcpdump -h tcpdump version 4.9.2 libpcap version 1.5.3
java linux怎么tcp_Linux下使用tcpdump的实现方法
weixin_39913141的博客
02-13 227
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdumptcpdump是Linux下面的一个开源的工具,和Windows下面的wireshark工具一样, 支持抓取指定网口、指定目的地址、指定源地址、指定端口、指定协议的数据。1、安装tcpdumpyum install -y tcpdump2...
linux监听tcp端口数据,linux tcpdump
weixin_39615741的博客
05-07 1871
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?tcpdump是在命令行下运行的常用数据分析器。它允许用户显示通过计算机所连接的网络传输或接收的TCP/IP和其他数据。根据BSD许可分发,tcpdump是免费软件。tcpdump适用于大多数类Unix 操作系统:Linux,Solaris,BSD,macOS,HP-UX,Android和AIX等。在这些系统中,tc...
Wireshark抓取本地Tcp(任何数据
热门推荐
点火三周的专栏
11-14 4万+
没有任何一个程序员在做项目的时候不会遇到网络编程的问题,要解决这些问题除了对各种网络协议深入了解之外,还需要掌握各种网络分析工具的用法,不用多说wireshark绝对是这方面的翘楚,可惜的是,wireshark不能对本地接口(loopback,或者127.0.0.1)进行直接。wireshark的工作原理这里面的原理其实很简单,wireshark可以通过操作系统来访问所有的网络adapter,通
抓取linux向外的tcp连接
achejq的专栏
06-10 727
function hex2ip($hex){         $rip = long2ip( hexdec( $hex));         $temp = explode(".",$rip);         $ip = $temp[3]. ".". $temp[2] . ".". $temp[1]. ".". $temp[0];         return $ip;     }
关于 linuxTCP数据(SKB)序列号的小笔记
scdxmoe的专栏
12-28 2475
关于  SKB序列号的小笔记 为了修改TCP协议,现在遇到了要改动tcp分组的序列号,但是只是在tcp_sendmsg函数中找到了SKB的end_seq  一直没有找到seq        不清楚在那里初始化了,就跟踪了分配SKB的函数 sk_stream_alloc_skb()还是没有找到,最后在函数skb_entail中找到: static inline void skb_ent
linuxtcp指定端口命令
06-07
Linux 中,你可以使用 tcpdump 命令进行,并通过指定端口号来过滤数据。 下面是一个示例命令,用于抓取 TCP 端口为 80 的数据: ``` sudo tcpdump -i eth0 tcp port 80 ``` 其中,`-i` 参数指定了要抓取数据的网络接口,`tcp` 表示只抓取 TCP 数据,`port 80` 表示只抓取 TCP 端口为 80 的数据。 你可以根据需要替换命令中的参数来抓取不同端口的数据。另外,由于 tcpdump 需要访问网络接口,因此需要使用 root 权限运行该命令,或者将当前用户添加到 `wireshark` 用户组中,使其具有访问网络接口的权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值