基本用法tcpdum -nn XX ‘port 80’ and host ‘192.168.44.207’
tcpdum抓到的是整个以太网包,也就是 以太网报头—ARP报头/IP报头—TCPIP报头—数据—以太网报尾
-nn直接显示IP而非host名字,端口80主(没有目标端口和源端口区别)机192.168.44.207(包括接收或者发送里出现的IP),-XX显示数据包部分,能解析成文字的会自动解析
如果需要详细数据包内容需要制定-s参数,此参数定义抓取的单个包的大小,默认只有80字节。抓一般tcp-ip的报头足够,但是数据部分职能显示一部分,抓NFS服务包如果不指定更大的-s参数,报头都抓不全。需要详细的数据包内容可以指定200或者更大的字节数。
例如:抓discuz7.0论坛的包不指定包大小会发现数据部分只看见username=字样就没有了,指定了大小200就看见全了。
包分析首先简单了解tcp-ip协议3次握手以及tcpip报头
需要分析部要为
源端口、目的端口
发送队列 sequence number
期望接受队列 acknowledgement
//发送双方通过对列可以保证收到的包是连续的,这两个队列也就是tcp和udp最大不同之处,udp的报头只有目的端口和源端口以及长度,所以都说udp是不保证连接的原因就在此
放大部分的控制字节 control bits
window段是控制大小的,一般不需要关心,但是优化网络的时候可以通过这个反映的数据对程序做调整
事例一个基本的3次握手(只包含报头不包含数据段)192.168.44.2连接192.168.44.207的ssh端口(不显示date段):
1、14:55:23.726519 arp who-has 192.168.44.207 tell 192.168.44.2
2、14:55:23.726645 arp reply 192.168.44.207 is-at 00:0c:29:67:d8:2a
3、14:55:23.726706 IP 192.168.44.2.2109 > 192.168.44.207.22: S 911514455:911514455(0) win 65535
4、14:55:23.726778 IP 192.168.44.207.22 > 192.168.44.2.2109: S 2767795104:2767795104(0) ack 911514456 win 5840
5、14:55:23.727351 IP 192.168.44.2.2109 > 192.168.44.207.22: . ack 1 win 46537
6、14:55:23.753710 IP 192.168.44.207.22 > 192.168.44.2.2109: P 1:21(20) ack 1 win 92
7、14:55:23.854915 IP 192.168.44.2.2109 > 192.168.44.207.22: . ack 21 win 46535
8、14:55:24.233262 IP 192.168.44.2.2109 > 192.168.44.207.22: P 1:3(2) ack 21 win 46535
9、14:55:24.234444 IP 192.168.44.207.22 > 192.168.44.2.2109: . ack 3 win 92
10、14:55:24.235495 IP 192.168.44.207.22 > 192.168.44.2.2109: P 21:40(19) ack 3 win 92
第一行14:55:23.726519 arp who-has 192.168.44.207 tell 192.168.44.2
192.168.44.2发送arp询问192.168.44.2的物理地址(这里还不是tcp-ip,这是局域网内部通过arp协议找对应IP)
第二行14:55:23.726645 arp reply 192.168.44.207 is-at 00:0c:29:67:d8:2a
arp询问被相应,返回物理地址
第三行是tcp-ip的握手开始
2.2019发送一个tcpip包到207.22
标准握手的第一个IP包SYN为1(即大写标志S),其他控制位为0,队列号为911514455, 后面的数据是相关控制字段,一般没有什么内容
第四行 207.22接收后回发一个包,SYN为1(大写S)、ACK控制位为1(小写ack),其他控制位位置0, ack队列911514456(小写ack后面的数字)的包,自己的队列号为2767795104
此包表示可以接受数据,并希望收到的下一个数据的sequence number为911514456,这个数字是207发送的第一个包的sequence numbe +1
注:这里可以设置一个规则来防止被人当做跳板攻击其他IP,比如收到某个SYN标志为1ACK标志也为1的包(上面可以知道这是握手的第二个包的标志),而自己本身没有发送过包给对方也没有建立过连接,这包很可能是有问题的,如果攻击方测出了队列接受这类包攻击就可能发生。由于iptables会把收到的第一个SYN为1的标志的包定义为NEW状态,所以可以用防火墙一条规则来禁止这类包
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset。含义是查看tcp的控制位 syn 和ack位,syn ack为1 且状态 NEW,拒绝
第五行2.2109收到了207的包以后发送了一个包,所有控制位为0(一个店),ack队列为1的包
按道理192.168.44.2应该再发送一个队列号为911514456,ack队列为2767795105的包,但由于握手过程已经结束了,2直接发送了一个要求接受数据的包,所以这包表示开始接受第一个数据,也就是ack 1(即可以接受从第一字节开始的数据包)
到这里握手已经完成下面就开始收发数据,下面的数据段就开始变大了
第六行207接受了2要求发送数据的请求开示发送通信数据——即控制位为P的包(就是大写的P),P后面1:21(20)表示发送从1-20字节的数据,并期望接受对方从1字节开始的数据(ack 1)
第七行2收到了207的数据后继续期望获得数据包,数据包从21字节开始(ack 21),这里可以看出tcp的连贯性要求
第八行2 又发了一个数据包,这个数据包包括了自己的数据(P标志),字节从1-3
后面就是重复了
这里就完成了最基本的抓包分析。由于http、ftp的内容都是明文发送的,指定-XX选项并监听端口就直接看到发送出去的明文了,包括账号密码。
TCP状态:
LISTEN:侦听来自远方的TCP端口的连接请求
SYN-SENT:再发送连接请求后等待匹配的连接请求
SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认
ESTABLISHED:代表一个打开的连接
FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认
FIN-WAIT-2:从远程TCP等待连接中断请求
CLOSE-WAIT:等待从本地用户发来的连接中断请求
CLOSING:等待远程TCP对连接中断的确认
LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认
TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认
CLOSED:没有任何连接状态
下面是复制的文章
这个图n多人都知道,它对排除和定位网络或系统故障时大有帮助,但是怎样牢牢地将这张图刻在脑中呢?那么你就一定要对这张图的每一个状态,及转换的过程有深刻地认识,不能只停留在一知半解之中。下面对这张图的11种状态详细解释一下,以便加强记忆!不过在这之前,先回顾一下TCP建立连接的三次握手过程,以及关闭连接的四次握手过程。
1、建立连接协议(三次握手)
(1)客户端发送一个带SYN标志的TCP报文到服务器。这是三次握手过程中的报文1。
(2) 服务器端回应客户端的,这是三次握手中的第2个报文,这个报文同时带ACK标志和SYN标志。因此它表示对刚才客户端SYN报文的回应;同时又标志SYN给客户端,询问客户端是否准备好进行数据通讯。
(3) 客户必须再次回应服务段一个ACK报文,这是报文段3。
2、连接终止协议(四次握手)
由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。这原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。
(1) TCP客户端发送一个FIN,用来关闭客户到服务器的数据传送(报文段4)。
(2) 服务器收到这个FIN,它发回一个ACK,确认序号为收到的序号加1(报文段5)。和SYN一样,一个FIN将占用一个序号。
(3) 服务器关闭客户端的连接,发送一个FIN给客户端(报文段6)。
(4) 客户段发回ACK报文确认,并将确认序号设置为收到序号加1(报文段7)。
CLOSED: 这个没什么好说的了,表示初始状态。
LISTEN: 这个也是非常容易理解的一个状态,表示服务器端的某个SOCKET处于监听状态,可以接受连接了。
SYN_RCVD: 这个状态表示接受到了SYN报文,在正常情况下,这个状态是服务器端的SOCKET在建立TCP连接时的三次握手会话过程中的一个中间状态,很短暂,基本上用netstat你是很难看到这种状态的,除非你特意写了一个客户端测试程序,故意将三次TCP握手过程中最后一个ACK报文不予发送。因此这种状态时,当收到客户端的ACK报文后,它会进入到ESTABLISHED状态。
SYN_SENT: 这个状态与SYN_RCVD遥想呼应,当客户端SOCKET执行CONNECT连接时,它首先发送SYN报文,因此也随即它会进入到了SYN_SENT状态,并等待服务端的发送三次握手中的第2个报文。SYN_SENT状态表示客户端已发送SYN报文。
ESTABLISHED:这个容易理解了,表示连接已经建立了。
FIN_WAIT_1: 这个状态要好好解释一下,其实FIN_WAIT_1和FIN_WAIT_2状态的真正含义都是表示等待对方的FIN报文。而这两种状态的区别是:FIN_WAIT_1状态实际上是当SOCKET在ESTABLISHED状态时,它想主动关闭连接,向对方发送了FIN报文,此时该SOCKET即进入到FIN_WAIT_1状态。而当对方回应ACK报文后,则进入到FIN_WAIT_2状态,当然在实际的正常情况下,无论对方何种情况下,都应该马上回应ACK报文,所以FIN_WAIT_1状态一般是比较难见到的,而FIN_WAIT_2状态还有时常常可以用netstat看到。
FIN_WAIT_2:上面已经详细解释了这种状态,实际上FIN_WAIT_2状态下的SOCKET,表示半连接,也即有一方要求close连接,但另外还告诉对方,我暂时还有点数据需要传送给你,稍后再关闭连接。
TIME_WAIT: 表示收到了对方的FIN报文,并发送出了ACK报文,就等2MSL后即可回到CLOSED可用状态了。如果FIN_WAIT_1状态下,收到了对方同时带FIN标志和ACK标志的报文时,可以直接进入到TIME_WAIT状态,而无须经过FIN_WAIT_2状态。
CLOSING: 这种状态比较特殊,实际情况中应该是很少见,属于一种比较罕见的例外状态。正常情况下,当你发送FIN报文后,按理来说是应该先收到(或同时收到)对方的ACK报文,再收到对方的FIN报文。但是CLOSING状态表示你发送FIN报文后,并没有收到对方的ACK报文,反而却也收到了对方的FIN报文。什么情况下会出现此种情况呢?其实细想一下,也不难得出结论:那就是如果双方几乎在同时close一个SOCKET的话,那么就出现了双方同时发送FIN报文的情况,也即会出现CLOSING状态,表示双方都正在关闭SOCKET连接。
CLOSE_WAIT: 这种状态的含义其实是表示在等待关闭。怎么理解呢?当对方close一个SOCKET后发送FIN报文给自己,你系统毫无疑问地会回应一个ACK报文给对方,此时则进入到CLOSE_WAIT状态。接下来呢,实际上你真正需要考虑的事情是察看你是否还有数据发送给对方,如果没有的话,那么你也就可以close这个SOCKET,发送FIN报文给对方,也即关闭连接。所以你在CLOSE_WAIT状态下,需要完成的事情是等待你去关闭连接。
LAST_ACK: 这个状态还是比较容易好理解的,它是被动关闭一方在发送FIN报文后,最后等待对方的ACK报文。当收到ACK报文后,也即可以进入到CLOSED可用状态了。
最后有2个问题的回答,我自己分析后的结论(不一定保证100%正确)
1、 为什么建立连接协议是三次握手,而关闭连接却是四次握手呢?
这是因为服务端的LISTEN状态下的SOCKET当收到SYN报文的建连请求后,它可以把ACK和SYN(ACK起应答作用,而SYN起同步作用)放在一个报文里来发送。但关闭连接时,当收到对方的FIN报文通知时,它仅仅表示对方没有数据发送给你了;但未必你所有的数据都全部发送给对方了,所以你可以未必会马上会关闭SOCKET,也即你可能还需要发送一些数据给对方之后,再发送FIN报文给对方来表示你同意现在可以关闭连接了,所以它这里的ACK报文和FIN报文多数情况下都是分开发送的。
2、 为什么TIME_WAIT状态还需要等2MSL后才能返回到CLOSED状态?
这是因为:虽然双方都同意关闭连接了,而且握手的4个报文也都协调和发送完毕,按理可以直接回到CLOSED状态(就好比从SYN_SEND状态到ESTABLISH状态那样);但是因为我们必须要假想网络是不可靠的,你无法保证你最后发送的ACK报文会一定被对方收到,因此对方处于LAST_ACK状态下的SOCKET可能会因为超时未收到ACK报文,而重发FIN报文,所以这个TIME_WAIT状态的作用就是用来重发可能丢失的ACK报文。