一、 tcpdump與Wireshark介紹
在網絡問題的調試中,tcpdump應該說是一個必不可少的工具,和大部分linux下優秀工具一樣,它的特點就是簡單而強大。它是基於Unix系統的命令行式的數據包嗅探工具,可以抓取流動在網卡上的數據包。
默認情況下,tcpdump不會抓取本機內部通訊的報文。根據網絡協議棧的規定,對於報文,即使是目的地是本機,也需要經過本機的網絡協議層,所以本機通訊肯定是通過API進入了內核,並且完成了路由選擇。【比如本機的TCP通信,也必須要socket通信的基本要素:src ip port dst ip port】
如果要使用tcpdump抓取其他主機MAC地址的數據包,必須開啟網卡混雜模式,所謂混雜模式,用最簡單的語言就是讓網卡抓取任何經過它的數據包,不管這個數據包是不是發給它或者是它發出的。一般而言,Unix不會讓普通用戶設置混雜模式,因為這樣可以看到別人的信息,比如telnet的用戶名和密碼,這樣會引起一些安全上的問題,所以只有root用戶可以開啟混雜模式,開啟混雜模式的命令是:ifconfig en0 promisc, en0是你要打開混雜模式的網卡。
Linux抓包原理:
Linux抓包是通過註冊一種虛擬的底層網絡協議來完成對網絡報文(準確的說是網絡設備)消息的處理權。當網卡接收到一個網絡報文之後,它會遍歷系統中所有已經註冊的網絡協議,例如以太網協議、x25協議處理模塊來嘗試進行報文的解析處理,這一點和一些文件系統的掛載相似,就是讓系統中所有的已經註冊的文件系統來進行嘗試掛載,如果哪一個認為自己可以處理,那麼就完成掛載。
當抓包模塊把自己偽裝成一個網絡協議的時候,系統在收到報文的時候就會給這個偽協議一次機會,讓它來對網卡收到的報文進行一次處理,此時該模塊就會趁機對報文進行窺探,也就是把這個報文完完整整的複製一份,假裝是自己接收到的報文,彙報給抓包模塊。
Wireshark是一個網絡協議檢測工具,支持Windows平臺、Unix平臺、Mac平臺,一般只在圖形界面平臺下使用Wireshark,如果是Linux的話,直接使用tcpdump了,因為一般而言Linux都自帶的tcpdump,或者用tcpdump抓包以後用Wireshark打開分析。
在Mac平臺下,Wireshark通過WinPcap進行抓包,封裝的很好,使用起來很方便,可以很容易的制定抓包過濾器或者顯示過濾器。Wireshark是一個免費的工具,只要google一下就能很容易找到下載的地方。
所以,tcpdump是用來抓取數據非常方便,Wireshark則是用於分析抓取到的數據比較方便。
二、tcpdump抓取TCP包分析
TCP傳輸控制協議是面向連接的可靠的傳輸層協議,在進行數據傳輸之前,需要在傳輸數據的兩端(客戶端和服務器端)創建一個連接,這個連接由一對插口地址唯一標識,即是在IP報文首部的源IP地址、目的IP地址,以及TCP數據報首部的源端口地址和目的端口地址。TCP首部結構如下:
注意:通常情況下,一個正常的TCP連接,都會有三個階段:1、TCP三次握手;2、數據傳送;3、TCP四次揮手
其中在TCP連接和斷開連接過程中的關鍵部分如下:
源端口號:即發送方的端口號,在TCP連接過程中,對於客戶端,端口號往往由內核分配,無需進程指定;
目的端口號:即發送目的的端口號;
序號:即為發送的數據段首個字節的序號;
確認序號:在收到對方發來的數據報,發送確認時期待對方下一次發送的數據序號;
SYN:同步序列編號,Synchronize Sequence Numbers;
ACK:確認編號,Acknowledgement Number;
FIN:結束標誌,FINish;
1、三次握手,過程如下:
step1. 由客戶端向服務器端發起TCP連接請求。Client發送:同步序列編號SYN置為1,發送序號Seq為一個隨機數,這裡假設為X,確認序號ACK置為0;
step2. 服務器端接收到連接請求。Server響應:同步序列編號SYN置為1,並將確認序號ACK置為X+1,然後生成一個隨機數Y作為發送序號Seq(因為所確認的數據報的確認序號未初始化);
step3. 客戶端對接收到的確認進行確認。Client發送:將確認序號ACK置為Y+1,然後將發送序號Seq置為X+1(即為接收到的數據報的確認序號);
為什麼是三次握手而不是兩次對於step3的作用,假設一種情況,客戶端A向服務器B發送一個連接請求數據報,然後這個數據報在網絡中滯留導致其遲到了,雖然遲到了,但是服務器仍然會接收併發回一個確認數據報。但是A卻因為久久收不到B的確認而將發送的請求連接置為失效,等到一段時間後,接到B發送過來的確認,A認為自己現在沒有發送連接,而B卻一直以為連接成功了,於是一直在等待A的動作,而A將不會有任何的動作了。這會導致服務器資源白白浪費掉了,因此,兩次握手是不行的,因此需要再加上一次,對B發過來的確認再進行一次確認,即確認這次連接是有效的,從而建立連接。
對於雙方,發送序號的初始化為何值有的系統中是顯式的初始化序號是0,但是這種已知的初始化值是非常危險的,因為這會使得一些黑客鑽漏洞,發送一些數據報來破壞連接。因此,初始化序號因為取隨機數會更好一些,並且是越隨機越安全。
tcpdump抓TCP三次握手抓包分析:
sudotcpdump-n-S-ilo0host10.37.63.3andtcpport8080
# 接著再運行:
curlhttp://10.37.63.3:8080/atbg/doc
控制檯輸出:
每一行中間都有這個包所攜帶的標誌:
S=SYN,發起連接標誌。
P=PUSH,傳送數據標誌。
F=FIN,關閉連接標誌。
ack,表示確認包。
RST=RESET,異常關閉連接。
.,表示沒有任何標誌。
第1行:16:00:13.486776,從10.37.63.3(client)的臨時端口61725向10.37.63.3(server)的8080監聽端口發起連接,client初始包序號seq為1944916150,滑動窗口大小為65535字節(滑動窗口即tcp接收緩衝區的大小,用於tcp擁塞控制),mss大小為16344(即可接收的最大包長度,通常為MTU減40字節,IP頭和TCP頭各20字節)。【seq=1944916150,ack=0,syn=1】
第2行:16:00:13.486850,server響應連接,同時帶上第一個包的ack信息,為client端的初始包序號seq加1,即1944916151,即server端下次等待接受這個包序號的包,用於tcp字節流的順序控制。Server端的初始包序號seq為1119565918,mss也是16344。【seq=1119565918,ack=1944916151,syn=1】
第3行:15:46:13.084161,client再次發送確認連接,tcp連接三次握手完成,等待傳輸數據包。【ack=1119565919,seq=1944916151】
2、四次揮手
連接雙方在完成數據傳輸之後就需要斷開連接。由於TCP連接是屬於全雙工的,即連接雙方可以在一條TCP連接上互相傳輸數據,因此在斷開時存在一個半關閉狀態,即有有一方失去發送數據的能力,卻還能接收數據。因此,斷開連接需要分為四次。主要過程如下:
step1. 主機A向主機B發起斷開連接請求,之後主機A進入FIN-WAIT-1狀態;
step2. 主機B收到主機A的請求後,向主機A發回確認,然後進入CLOSE-WAIT狀態;
step3. 主機A收到B的確認之後,進入FIN-WAIT-2狀態,此時便是半關閉狀態,即主機A失去發送能力,但是主機B卻還能向A發送數據,並且A可以接收數據。此時主機B佔主導位置了,如果需要繼續關閉則需要主機B來操作了;
step4. 主機B向A發出斷開連接請求,然後進入LAST-ACK狀態;
step5. 主機A接收到請求後發送確認,進入TIME-WAIT狀態,等待2MSL之後進入CLOSED狀態,而主機B則在接受到確認後進入CLOSED狀態;
為何主機A在發送了最後的確認後沒有進入CLOSED狀態,反而進入了一個等待2MSL的TIME-WAIT主要作用有兩個:
第一,確保主機A最後發送的確認能夠到達主機B。如果處於LAST-ACK狀態的主機B一直收不到來自主機A的確認,它會重傳斷開連接請求,然後主機A就可以有足夠的時間去再次發送確認。但是這也只能盡最大力量來確保能夠正常斷開,如果主機A的確認總是在網絡中滯留失效,從而超過了2MSL,最後也無法正常斷開;
第二,如果主機A在發送了確認之後立即進入CLOSED狀態。假設之後主機A再次向主機B發送一條連接請求,而這條連接請求比之前的確認報文更早地到達主機B,則會使得主機B以為這條連接請求是在舊的連接中A發出的報文,並不看成是一條新的連接請求了,即使得這個連接請求失效了,增加2MSL的時間可以使得這個失效的連接請求報文作廢,這樣才不影響下次新的連接請求中出現失效的連接請求。
為什麼斷開連接請求報文只有三個,而不是四個因為在TCP連接過程中,確認的發送有一個延時(即經受延時的確認),一端在發送確認的時候將等待一段時間,如果自己在這段事件內也有數據要發送,就跟確認一起發送,如果沒有,則確認單獨發送。而我們的抓包實驗中,由服務器端先斷開連接,之後客戶端在確認的延遲時間內,也有請求斷開連接需要發送,於是就與上次確認一起發送,因此就只有三個數據報了。
三、 Wireshark分析tcpdump抓包結果
1、啟動8080端口,tcpdump抓包命令如下:
tcpdump-ilo0-s0-n-Shost10.37.63.3andport8080-w./Desktop/tcpdump_10.37.63.3_8080_20160525.cap
# 然後再執行curl
curlhttp://10.37.63.3:8080/atbg/doc
2、使用Wireshark打開tcpdump_10.37.63.3_8080_20160525.cap文件
No. 1-4 行:TCP三次握手環節;
No. 5-8 行:TCP傳輸數據環節;
No. 9-13 行:TCP四次揮手環節;
閱讀更多 快樂生活你我 的文章
