一次完整的tcpdump -XX输出报文详解

执行 sudo tcpdump -i lo port 6471 -XXnnv  后，让我们详细解析这个tcpdump -XX输出的16进制报文的各部分含义。

报文基本信息

14:37:33.881148 IP (tos 0x0, ttl 64, id 23488, offset 0, flags [DF], proto TCP (6), length 362)
10.229.120.5.28202 > 10.229.120.5.6471: Flags [P.], cksum 0x0731 (incorrect -> 0xdf5d), seq 9714:10024, ack 360, win 1539, options [nop,nop,TS val 3542503468 ecr 3542503468], length 310

• 时间戳：14:37:33.881148，表示报文捕获的时间。

• IP头部：

  • tos 0x0：服务类型字段，值为0，表示常规服务。

  • ttl 64：生存时间，值为64，表示报文最多可以经过64个路由器。

  • id 23488：标识字段，用于唯一标识主机发送的每一分组。

  • offset 0：片偏移字段，值为0，表示该报文不分片。

  • flags [DF]：不分片标志位，表示该报文不允许分片。

  • proto TCP (6)：协议字段，值为6，表示上层协议为TCP。

  • length 362：整个IP报文的长度为362字节。

• TCP头部：

  • Flags [P.]：标志位，P表示推送（PSH），.表示确认（ACK）。

  • cksum 0x0731 (incorrect -> 0xdf5d)：校验和，计算结果为0x0731，但实际应为0xdf5d，表示校验和错误。

  • seq 9714:10024：序列号范围，从9714到10024，表示该报文段包含310字节的数据。

  • ack 360：确认号，表示期望收到的下一个报文段的序列号为360。

  • win 1539：窗口大小，值为1539，表示接收方的接收窗口大小。

  • options [nop,nop,TS val 3542503468 ecr 3542503468]：选项字段，包含两个NOP（无操作）选项和一个时间戳选项，时间戳值为3542503468，时间戳回显值为3542503468。

  • length 310：TCP数据部分的长度为310字节。

16进制报文详细解释

0x0000:  0000 0000 0000 0000 0000 0000 0800 4500  ..............E.
0x0010:  016a 5bc0 4000 4006 d7f9 0ae5 7805 0ae5  .j[.@.@.....x...
0x0020:  7805 6e2a 1947 5ebb e7b0 c247 9f08 8018  x.n*.G^....G....
0x0030:  0603 0731 0000 0101 080a d326 502c d326  ...1.......&P,.&
0x0040:  502c 0100 414a 011b 0000 0100 0000 3601  P,..AJ........6.
0x0050:  0000 0000 0ae5 7805 0819 0000 0000 0000  ......x.........
0x0060:  0000 0000 0000 0000 0000 0000 7b22 666d  ............{"fm
0x0070:  5479 7065 223a 312c 2272 6573 6f75 7263  Type":1,"resourc
0x0080:  6554 7970 6522 3a22 434c 5553 5445 524d  eType":"CLUSTERM
0x0090:  414e 4147 4552 222c 2273 7973 5479 7065  ANAGER","sysType
0x00a0:  223a 3232 3735 302c 2263 6f64 6522 3a32  ":22750,"code":2
0x00b0:  3032 3332 2c22 7265 6173 6f6e 436f 6465  0232,"reasonCode
0x00c0:  223a 3230 3233 3230 322c 2264 6573 6322  ":2023202,"desc"
0x00d0:  3a22 222c 2263 7265 6174 6554 696d 6522  :"","createTime"
0x00e0:  3a22 6e75 6c6c 222c 2263 6c65 6172 5469  :"null","clearTi
0x00f0:  6d65 223a 2232 3032 352d 3031 2d32 3620  me":"2025-01-26.
0x0100:  3134 3a33 373a 3333 222c 2272 6563 6f76  14:37:33","recov
0x0110:  6572 7974 7970 6522 3a34 2c22 6970 223a  erytype":4,"ip":
0x0120:  2231 302e 3232 392e 3132 302e 3522 2c22  "10.229.120.5",
0x0130:  706f 7274 223a 3630 3137 2c22 6473 7469  "port":6017,"dsti
0x0140:  6e66 6f22 3a22 312e 312e 312e 313a 3130  nfo":"1.1.1.1:10
0x0150:  3234 3a31 222c 2272 6573 6f75 7263 6549  24:1","resourceI
0x0160:  4422 3a22 3130 2e32 3239 2e31 3230 2e35  D":"10.229.120.5
0x0170:  3a36 3031 3722 7d00                        :6017"}

0x0000 - 0x000D：以太网头部（如果存在）

• 0000 0000 0000 0000 0000 0000：目的MAC地址（全0，表示可能是一个原始IP报文，没有以太网封装）。

• 0800：以太网类型字段，值为0800，表示这是一个IP报文。

0x000E - 0x0021：IP头部

• 4500：IP版本和首部长度。4表示IP版本为IPv4，5表示IP头部长度为5个32位字节，即20字节。

• 016a：总长度，十六进制016a转换为十进制为362，表示整个IP报文长度为362字节。

• 5bc0：标识字段，值为5bc0，用于唯一标识主机发送的每一分组。

• 4000：标志和片偏移字段。4表示不分片（DF位为1），00表示片偏移为0，即该IP报文不分片。

• 4006：生存时间（TTL）和协议字段。40表示TTL为64，06表示协议为TCP。

• d7f9：头部校验和，用于检测IP头部在传输过程中是否出现错误。

• 0ae5 7805：源IP地址，转换为点分十进制为10.229.120.5。

• 0ae5 7805：目的IP地址，也是10.229.120.5。

0x0022 - 0x002F：TCP头部

• 6e2a：源端口号，十六进制6e2a转换为十进制为28202。

• 1947：目的端口号，十六进制1947转换为十进制为6471。

• 5ebb e7b0：序列号，值为5ebb e7b0。

• c247：确认号，值为c247。

• 9f08：数据偏移（高4位）和保留位（中间6位）以及紧急指针字段（低4位）。数据偏移值为9（十进制为9），表示TCP头部长度为9个32位字节，即36字节（包括20字节基本头部和16字节选项部分）。

• 8018：标志位和窗口大小字段。80表示PSH（推送）和ACK（确认）标志位为1，18表示窗口大小为18（需要乘以2的10次方，即18 * 1024 = 18432，但这里应该是16位的窗口大小字段，直接转换为十进制为1539，表示窗口大小为1539）。

0x0030 - 0x0041：TCP头部（继续）

• 0603：检验和，用于检测TCP报文段在传输过程中是否出现错误。

• 0731：紧急指针字段，值为0731，但在这个报文段中紧急指针可能没有实际意义，因为紧急指针字段只有在紧急标志位为1时才有效。

• 0000：填充字段，用于填充TCP头部，使其长度为整数个32位字节。

• 0101：选项字段，表示TCP选项的类型和长度。01表示时间戳选项，01表示该选项长度为10字节。

• 080a：时间戳选项的类型和子类型，08表示时间戳，0a表示时间戳回显。

• d326 502c：时间戳值，用于TCP的拥塞控制和往返时间测量等。

• d326 502c：时间戳回显值，用于确认对方发送的时间戳。

0x0042 - 0x0170：TCP数据部分

• 0100：TCP数据部分的开始，这部分数据的具体含义需要根据上层应用协议来解释。例如，如果这是一个HTTP协议的数据，那么这些字节可能是HTTP请求或响应的一部分内容。