tcpdump/HTTP协议实践

简介: tcpdump/HTTP协议实践 500)this.width=500;" border="0" /> 客户端: CLOSED->SYN_SENT->ESTABLISHED->...

tcpdump/HTTP协议实践

500)this.width=500;" border="0" />

客户端:

CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED

服务端:

CLOSED->LISTEN->SYN收到->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED

 

# tcpdump host 192.168.64.71 and port 80 -n

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes

10:13:01.617505 IP 10.1.9.11.58384 > 192.168.64.71.80: Syn 3718379515:3718379515(0) win 65535 客户端发起连接请求

10:13:01.617631 IP 192.168.64.71.80 > 10.1.9.11.58384: Syn 261066897:261066897(0) ack 3718379516 win 5840 服务端响应连接请求

10:13:01.617766 IP 10.1.9.11.58384 > 192.168.64.71.80: . ack 1 win 65535

10:13:01.618011 IP 10.1.9.11.58384 > 192.168.64.71.80: Push 1:612(611) ack 1 win 65535 客户端向服务端发送数据(HTTP请求)

10:13:01.618023 IP 192.168.64.71.80 > 10.1.9.11.58384: . ack 612 win 6721

10:13:01.618486 IP 192.168.64.71.80 > 10.1.9.11.58384: Push 1:329(328) ack 612 win 6721服务端向客户端回送数据(HTTP响应)

10:13:01.618510 IP 192.168.64.71.80 > 10.1.9.11.58384: Push 329:1303(974) ack 612 win 6721

10:13:01.619638 IP 10.1.9.11.58384 > 192.168.64.71.80: . ack 1303 win 64233

10:13:11.574352 IP 10.1.9.11.58384 > 192.168.64.71.80: Fin 612:612(0) ack 1303 win 64233 客户端先发起关闭连接操作

10:13:11.574455 IP 192.168.64.71.80 > 10.1.9.11.58384: Fin 1303:1303(0) ack 613 win 6721 服务端响应客户端的关闭连接操作

10:13:11.574991 IP 10.1.9.11.58384 > 192.168.64.71.80: . ack 1304 win 64233 客户端进入TIME_WAIT状态

 

?         服务端(192.168.64.71.80)向客户端(10.1.9.11.58384)回送的响应分了两个tcp包:

       第一个包发送了328字节,第二个包发送了974字节

?         关闭连接由客户端(10.1.9.11.58384)首先发起,因此客户端(192.168.64.71.80)需要经历一个TIME_WAIT过程

 

Site found: www.tcpdump.com=192.168.64.71

Connecting to 192.168.64.71

Connected to 192.168.64.71

GET http:// www.tcpdump.com/

> Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*

> User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)

> Host: tsf.oa.com

Request sent. 611 bytes

Data available. 974/974 bytes

HTTP/1.1 200 OK

Date: Sun, 10 Aug 2008 02:27:08 GMT

Server: Apache/2.0.59 (Unix) DAV/2 PHP/5.2.1 SVN/1.4.6

Last-Modified: Wed, 21 May 2008 01:19:21 GMT

ETag: "298227-3ce-62ec9840"

Accept-Ranges: bytes

Content-Length: 974

Keep-Alive: timeout=15, max=100

Connection: Keep-Alive

Content-Type: text/html; charset=GB2312

 

200 Request complete

 

从上面的抓包结果来看,ApacheHTTP响应头和数据部分是分成两两部分发送的,而且TCP/IP协议栈没有再对其分包,也就是每个send调用都将数据发送完毕。

 

显示包的内容:

tcpdump -i eth1 -n -vv -x -e -s 1600 # 仅二进制

tcpdump -i eth1 -n -vv -X -e -s 1600 # 二进制和文本


-s 指定显示多少字节的包内容

 


 HTTP响应头共328字节。

附:常用命令

A.查看端口被谁占用
lsof -i:port,如:lsof -i:80

B.查看tcp监听端口
netstat -lpnt

C.查看udp监听端口
netstat -lpnu

D.查看本机IP
netstat -ie

E.lsof高级用法
lsof -i [46][protocol][@hostname|hostaddr][:service|port]
46表示ipv4和ipv6,protocol取值为tcp或udp,
hostname主机名,hostaddr为IP地址,
service为/etc/service中定义的service名,可以不止一个,
port也可以不止一个
示例1:lsof -i4
示例2:lsof -i 4udp@127.0.0.1:7778
更详细细节可以“man lsof”搜索“hostname”。

1.监听指定网卡
tcpdump -i eth1

2.监听指定UDP端口
tcpdump udp port 10888

3.监听指定TCP端口
tcpdump tcp port 80

4.监听A和B或A和C间的通讯
tcpdump host A and \(B or C \)
如:tcpdump host 127.0.0.1 and \(127.0.0.1 or 110.240.110.18 \)

5.监听A的所有通讯,但不包括A和B的
tcpdump ip A and not B

6.监听A发出的所有包
tcpdump -i eth1 src host A

7.监听所有发送到B的包
tcpdump -i eth1 dst host B

8.监听A收到或发出的所有http包
tcpdump tcp port 80 and host A

9.列出tcpdump能够监听的网卡
tcpdump -D

10.监听所有网卡,要求2.2或更高版本内核
tcpdump -i any

11.详细显示捕获的信息
tcpdump -v
更详细可以使用tcpdump -vv和tcpdump -vvv

12.以十六进制和ASCII方式打印包,除了连接层头
tcpdump -v -X

13.以十六进制和ASCII方式打印包,包括连接层头
tcpdump -v -XX

14.限制捕获100个包
tcpdump -c 100

15.将记录写入文件
tcpdump -w filename.log

16.使用IP代替域名
tcpdump -n

17.捕获每个包的100字节而不是默认的68字节
tcpdump -s 500
如果要捕获所有字节则为tcpdump -s 0

18.捕获所有广播或多播包
tcpdump -n "broadcast or multicast"

19.捕获所有icmp和arp包
tcpdump -v "icmp or arp"

20.捕获arp包
tcpdump -v arp

21.捕获目标地址是192.168.0.1,端口是80或443的包
tcpdump -n "dst host 192.168.0.1 and (dst port 80 or dst port 443)"

22.捕获目标端口号在1-1023间的UDP包
tcpdump -n udp dst portrange 1-1023
如果是tcp则改成:tcpdump -n tcp dst portrange 1-1023

23.捕获目标端口号为23的包
tcpdump dst port 23

24.捕获目标网络为192.168.1.0/24的包
tcpdump -n dst net 192.168.1.0/24

25.捕获源网络为192.168.1.0/24的包
tcpdump -n src net 192.168.1.0/24

相关文章
|
1月前
|
缓存 应用服务中间件 网络安全
Nginx中配置HTTP2协议的方法
Nginx中配置HTTP2协议的方法
79 7
|
2月前
|
Rust 前端开发 API
Tauri 开发实践 — Tauri HTTP 请求开发
本文介绍了如何在 Tauri 中发起 HTTP 请求。首先通过安装 Tauri 生态中的工具包并配置 `tauri.conf.json` 文件来允许特定域名的 HTTP 通信。接着封装了一个简单的 HTTP 客户端类,并在页面中使用该客户端实现 GET 和 POST 请求。最后提供了完整的源码地址以供参考。此功能使得桌面应用能够与远程服务器进行交互,增强了应用的实用性。
152 1
Tauri 开发实践 — Tauri HTTP 请求开发
|
1天前
|
域名解析 缓存 网络协议
Web基础与HTTP协议
通过掌握这些基础知识和技术,开发者可以更加高效地构建和优化Web应用,提供更好的用户体验和系统性能。
30 15
|
25天前
|
Dubbo 安全 应用服务中间件
Apache Dubbo 正式发布 HTTP/3 版本 RPC 协议,弱网效率提升 6 倍
在 Apache Dubbo 3.3.0 版本之后,官方推出了全新升级的 Triple X 协议,全面支持 HTTP/1、HTTP/2 和 HTTP/3 协议。本文将围绕 Triple 协议对 HTTP/3 的支持进行详细阐述,包括其设计目标、实际应用案例、性能测试结果以及源码架构分析等内容。
|
25天前
|
安全 搜索推荐 网络安全
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
53 11
|
25天前
|
缓存 安全 网络协议
HTTPS协议的历史发展
HTTPS协议的历史发展
36 8
|
26天前
|
安全 应用服务中间件 Linux
判断一个网站是否使用HTTPS协议
判断一个网站是否使用HTTPS协议
36 4
|
1月前
|
算法 网络协议 安全
HTTP/2 协议的缺点是什么?
HTTP/2 协议的缺点是什么?
|
1月前
|
网络协议 网络安全 网络虚拟化
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
87 3
|
1月前
|
网络协议 安全 Go
Go语言进行网络编程可以通过**使用TCP/IP协议栈、并发模型、HTTP协议等**方式
【10月更文挑战第28天】Go语言进行网络编程可以通过**使用TCP/IP协议栈、并发模型、HTTP协议等**方式
51 13
下一篇
DataWorks