tcpdump 命令

 tcpdump命令高级网络 tcpdump命令是一款sniffer工具，它可以打印所有经过网络接口的数据包的头信息，也可以使用-w选项将数据包保存到文件中，方便以后分析。

选项

-a：尝试将网络和广播地址转换成名称； 
-c<数据包数目>：收到指定的数据包数目后，就停止进行倾倒操作； 
-d：把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出； 
-dd：把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出； 
-ddd：把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出； 
-e：在每列倾倒资料上显示连接层级的文件头； 
-f：用数字显示网际网络地址； 
-F<表达文件>：指定内含表达方式的文件； 
-i<网络界面>：使用指定的网络截面送出数据包； 
-l：使用标准输出列的缓冲区； 
-n：不把主机的网络地址转换成名字； 
-N：不列出域名； 
-O：不将数据包编码最佳化； 
-p：不让网络界面进入混杂模式； 
-q ：快速输出，仅列出少数的传输协议信息； 
-r<数据包文件>：从指定的文件读取数据包数据； 
-s<数据包大小>：设置每个数据包的大小，常见 -s 0 ，代表最大值65535，一半linux传输最小单元MTU为1500，足够了
-S：用绝对而非相对数值列出TCP关联数； 
-t：在每列倾倒资料上不显示时间戳记； 
-tt： 在每列倾倒资料上显示未经格式化的时间戳记； 
-T<数据包类型>：强制将表达方式所指定的数据包转译成设置的数据包类型； 
-v：详细显示指令执行过程； 
-vv：更详细显示指令执行过程； 
-x：用十六进制字码列出数据包资料； 
-w<数据包文件>：把数据包数据写入指定的文件。
-X 直接输出package data数据，默认不设置，只能通过-w指定文件进行输出

常用表达式：

关于类型的关键字，主要包括host，net，port
传输方向的关键字，主要包括src , dst ,dst or src, dst and src
协议的关键字，主要包括fddi,ip ,arp,rarp,tcp,udp等类型
逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'||'
其他重要的关键字如下：gateway, broadcast,less,greater

实际例子：

1. http数据包抓取 (直接在终端输出package data)

tcpdump tcp port 80 -n -X -s 0 指定80端口进行输出

2. 抓取http包数据指定文件进行输出package

tcpdump tcp port 80 -n -s 0 -w /tmp/tcp.cap

对应的/tmp/tcp.cap基本靠肉眼已经能看一下信息，比如http Header , content信息等

3. 结合管道流

tcpdump tcp port 80 -n -s 0 -X -l | grep xxxx

这样可以实时对数据包进行字符串匹配过滤

4. mod_proxy反向代理抓包

线上服务器apache+jetty，通过apache mod_proxy进行一个反向代理，80 apache端口, 7001 jetty端口

apache端口数据抓包：　tcpdump tcp port 80 -n -s 0 -X -i eth0 　　注意：指定eth0网络接口
jetty端口数据抓包：　tcpdump tcp port 7001 -n -s 0 -X -i lo 注意：指定Loopback网络接口

5. 只监控特定的ip主机
tcpdump tcp host 10.16.2.85 and port 2100 -s 0 -X　
需要使用tcp表达式的组合，这里是host指示只监听该ip

小技巧：

1. 可结合tcpdump(命令) + wireshark(图形化)

操作：　

在服务器上进行tcpdump -w /tmp/tcp.cap 指定输出外部文件
scp /tmp/tcp.cap 拷贝文件到你本地
wireshark & 　启动wireshark
通过　File -> Open 　打开拷贝下来的文件，这样就可以利用进行数据包分析了
剩下来的事就非常方便了

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 为"GET"前两个字母"GE"

0x4854 为"HTTP"前两个字母"HT"

说明： 通常情况下:一个正常的TCP连接，都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手

里面的几个概念：

• SYN: (同步序列编号,Synchronize Sequence Numbers)
• ACK: (确认编号,Acknowledgement Number)
• FIN: (结束标志,FINish)

TCP三次握手(创建 OPEN)

• 客户端发起一个和服务创建TCP链接的请求，这里是SYN(J)
• 服务端接受到客户端的创建请求后，返回两个信息： SYN(K) + ACK(J+1)
• 客户端在接受到服务端的ACK信息校验成功后(J与J+1)，返回一个信息：ACK(K+1)
• 服务端这时接受到客户端的ACK信息校验成功后(K与K+1)，不再返回信息，后面进入数据通讯阶段

数据通讯

• 客户端/服务端 read/write数据包

TCP四次握手(关闭 finish)

• 客户端发起关闭请求，发送一个信息：FIN(M)
• 服务端接受到信息后，首先返回ACK(M+1),表明自己已经收到消息。
• 服务端在准备好关闭之前，最后发送给客户端一个 FIN(N)消息，询问客户端是否准备好关闭了
• 客户端接受到服务端发送的消息后，返回一个确认信息: ACK(N+1)
• 最后，服务端和客户端在双方都得到确认时，各自关闭或者回收对应的TCP链接。

详细的状态说明(以及linux相关参数调整)

1. SYN_SEND
   • 客户端尝试链接服务端，通过open方法。也就是TCP三次握手中的第1步之后,注意是客户端状态
   • sysctl -w net.ipv4.tcp_syn_retries = 2 ,做为客户端可以设置SYN包的重试次数，默认5次(大约180s)引用校长的话：仅仅重试2次，现代网络够了
2. SYN_RECEIVED
   • 服务接受创建请求的SYN后，也就是TCP三次握手中的第2步，发送ACK数据包之前
   • 注意是服务端状态,一般15个左右正常，如果很大，怀疑遭受SYN_FLOOD攻击
   • sysctl -w net.ipv4.tcp_max_syn_backlog=4096 , 设置该状态的等待队列数，默认1024，调大后可适当防止syn-flood，可参见man 7 tcp
   • sysctl -w net.ipv4.tcp_syncookies=1 ,　打开syncookie，在syn backlog队列不足的时候，提供一种机制临时将syn链接换出
   • sysctl -w net.ipv4.tcp_synack_retries = 2 ,做为服务端返回ACK包的重试次数，默认5次(大约180s)引用校长的话：仅仅重试2次，现代网络够了
3. ESTABLISHED
   • 客户端接受到服务端的ACK包后的状态，服务端在发出ACK在一定时间后即为ESTABLISHED
   • sysctl -w net.ipv4.tcp_keepalive_time = 1200 ，默认为7200秒(2小时)，系统针对空闲链接会进行心跳检查，如果超过net.ipv4.tcp_keepalive_probes * net.ipv4.tcp_keepalive_intvl = 默认11分，终止对应的tcp链接，可适当调整心跳检查频率
   • 目前线上的监控 waring:600 , critial : 800
4. FIN_WAIT1
   • 主动关闭的一方，在发出FIN请求之后，也就是在TCP四次握手的第1步
5. CLOSE_WAIT
   • 被动关闭的一方，在接受到客户端的FIN后，也就是在TCP四次握手的第2步
6. FIN_WAIT2
   • 主动关闭的一方，在接受到被动关闭一方的ACK后，也就是TCP四次握手的第2步
   • sysctl -w net.ipv4.tcp_fin_timeout=30, 可以设定被动关闭方返回FIN后的超时时间，有效回收链接，避免syn-flood.
7. LASK_ACK
   • 被动关闭的一方，在发送ACK后一段时间后(确保客户端已收到)，再发起一个FIN请求。也就是TCP四次握手的第3步
8. TIME_WAIT
   • 主动关闭的一方，在收到被动关闭的FIN包后，发送ACK。也就是TCP四次握手的第4步
   • sysctl -w net.ipv4.tcp_tw_recycle = 1 , 打开快速回收TIME_WAIT，Enabling this option is not recommended since this causes problems when working with NAT (Network Address Translation)
   • sysctl -w net.ipv4.tcp_tw_reuse =1, 快速回收并重用TIME_WAIT的链接, 貌似和tw_recycle有冲突，不能重用就回收?
   • net.ipv4.tcp_max_tw_buckets: 处于time_wait状态的最多链接数，默认为180000.

相关说明

• 主动关闭方在接收到被动关闭方的FIN请求后，发送成功给对方一个ACK后,将自己的状态由FIN_WAIT2修改为TIME_WAIT，而必须 再等2倍的MSL(Maximum Segment Lifetime,MSL是一个数据报在internetwork中能存在的时间)时间之后双方才能把状态 都改为CLOSED以关闭连接。目前RHEL里保持TIME_WAIT状态的时间为60秒
• keepAlive策略可以有效的避免进行三次握手和四次关闭的动作

其他网络重要参数

net.ipv4.tcp_rmem 参数

默认值： min=4096 default=87380 max=4194304

net.ipv4.tcp_wmem 参数

默认值： min=4096 default=16384 max=4194304