- 浏览: 1595555 次
- 性别:
- 来自: 杭州
文章分类
最新评论
-
jsrgzhangzhiyong:
关于null值的转换还是感觉不太友好,就像 mapstruct ...
我也造了个轮子:BeanMapping(属性拷贝) -
he037:
a417930422 写道引用使用EPHEMERAL会引出一个 ...
基于zookeeper的分布式lock实现 -
seancheer:
qianshangding 写道首先节点启动后,尝试读取本地的 ...
zookeeper学习记录三(session,watcher,persit机制) -
雪夜归人:
您好,我想咨询一下,开源的canal都能支持mysql的哪些版 ...
Canal BinlogChange(mysql5.6) -
zhoudengyun:
copy 一份做记录,后续学习,请知悉
阿里巴巴开源项目: 基于mysql数据库binlog的增量订阅&消费
linux服务器上的11种tcp状态
说明: 通常情况下:一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手
里面的几个概念:
- SYN: (同步序列编号,Synchronize Sequence Numbers)
- ACK: (确认编号,Acknowledgement Number)
- FIN: (结束标志,FINish)
TCP三次握手(创建 OPEN)
- 客户端发起一个和服务创建TCP链接的请求,这里是SYN(J)
- 服务端接受到客户端的创建请求后,返回两个信息: SYN(K) + ACK(J+1)
- 客户端在接受到服务端的ACK信息校验成功后(J与J+1),返回一个信息:ACK(K+1)
- 服务端这时接受到客户端的ACK信息校验成功后(K与K+1),不再返回信息,后面进入数据通讯阶段
数据通讯
- 客户端/服务端 read/write数据包
TCP四次握手(关闭 finish)
- 客户端发起关闭请求,发送一个信息:FIN(M)
- 服务端接受到信息后,首先返回ACK(M+1),表明自己已经收到消息。
- 服务端在准备好关闭之前,最后发送给客户端一个 FIN(N)消息,询问客户端是否准备好关闭了
- 客户端接受到服务端发送的消息后,返回一个确认信息: ACK(N+1)
- 最后,服务端和客户端在双方都得到确认时,各自关闭或者回收对应的TCP链接。
详细的状态说明(以及linux相关参数调整)
- SYN_SEND
- 客户端尝试链接服务端,通过open方法。也就是TCP三次握手中的第1步之后,注意是客户端状态
- sysctl -w net.ipv4.tcp_syn_retries = 2 ,做为客户端可以设置SYN包的重试次数,默认5次(大约180s)引用校长的话:仅仅重试2次,现代网络够了
- SYN_RECEIVED
- 服务接受创建请求的SYN后,也就是TCP三次握手中的第2步,发送ACK数据包之前
- 注意是服务端状态,一般15个左右正常,如果很大,怀疑遭受SYN_FLOOD攻击
- sysctl -w net.ipv4.tcp_max_syn_backlog=4096 , 设置该状态的等待队列数,默认1024,调大后可适当防止syn-flood,可参见man 7 tcp
- sysctl -w net.ipv4.tcp_syncookies=1 , 打开syncookie,在syn backlog队列不足的时候,提供一种机制临时将syn链接换出
- sysctl -w net.ipv4.tcp_synack_retries = 2 ,做为服务端返回ACK包的重试次数,默认5次(大约180s)引用校长的话:仅仅重试2次,现代网络够了
- ESTABLISHED
- 客户端接受到服务端的ACK包后的状态,服务端在发出ACK在一定时间后即为ESTABLISHED
- sysctl -w net.ipv4.tcp_keepalive_time = 1200 ,默认为7200秒(2小时),系统针对空闲链接会进行心跳检查,如果超过net.ipv4.tcp_keepalive_probes * net.ipv4.tcp_keepalive_intvl = 默认11分,终止对应的tcp链接,可适当调整心跳检查频率
- 目前线上的监控 waring:600 , critial : 800
- FIN_WAIT1
- 主动关闭的一方,在发出FIN请求之后,也就是在TCP四次握手的第1步
- CLOSE_WAIT
- 被动关闭的一方,在接受到客户端的FIN后,也就是在TCP四次握手的第2步
- FIN_WAIT2
- 主动关闭的一方,在接受到被动关闭一方的ACK后,也就是TCP四次握手的第2步
- sysctl -w net.ipv4.tcp_fin_timeout=30, 可以设定被动关闭方返回FIN后的超时时间,有效回收链接,避免syn-flood.
- LASK_ACK
- 被动关闭的一方,在发送ACK后一段时间后(确保客户端已收到),再发起一个FIN请求。也就是TCP四次握手的第3步
- TIME_WAIT
- 主动关闭的一方,在收到被动关闭的FIN包后,发送ACK。也就是TCP四次握手的第4步
- sysctl -w net.ipv4.tcp_tw_recycle = 1 , 打开快速回收TIME_WAIT,Enabling this option is not recommended since this causes problems when working with NAT (Network Address Translation)
- sysctl -w net.ipv4.tcp_tw_reuse =1, 快速回收并重用TIME_WAIT的链接, 貌似和tw_recycle有冲突,不能重用就回收?
- net.ipv4.tcp_max_tw_buckets: 处于time_wait状态的最多链接数,默认为180000.
相关说明
|
其他网络重要参数
net.ipv4.tcp_rmem 参数
- 默认值: min=4096 default=87380 max=4194304
net.ipv4.tcp_wmem 参数
- 默认值: min=4096 default=16384 max=4194304
tcpdump
tcpdump是linux系统自带的抓包工具,主要通过命令行的方式,比较适合在线上服务器进行抓包操作,如果是windows或者ubuntu完全可以选择一些图形化的工具,ubuntu比较推荐用wireshark,安装方式很简单sudo apt一下即可。
命令行格式:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ]
常用的参数:
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-c 在收到指定的包的数目后,tcpdump就会停止;
-i 指定监听的网络接口;
-w 直接将包写入文件中,并不分析和打印出来;
-s 指定记录package的大小,常见 -s 0 ,代表最大值65535,一半linux传输最小单元MTU为1500,足够了
-X 直接输出package data数据,默认不设置,只能通过-w指定文件进行输出
常用表达式:
- 关于类型的关键字,主要包括host,net,port
- 传输方向的关键字,主要包括src , dst ,dst or src, dst and src
- 协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型
- 逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'||'
- 其他重要的关键字如下:gateway, broadcast,less,greater
实际例子:
1. http数据包抓取 (直接在终端输出package data)
tcpdump tcp port 80 -n -X -s 0 指定80端口进行输出
2. 抓取http包数据指定文件进行输出package
tcpdump tcp port 80 -n -s 0 -w /tmp/tcp.cap
对应的/tmp/tcp.cap基本靠肉眼已经能看一下信息,比如http Header , content信息等
3. 结合管道流
tcpdump tcp port 80 -n -s 0 -X -l | grep xxxx
这样可以实时对数据包进行字符串匹配过滤
4. mod_proxy反向代理抓包
线上服务器apache+jetty,通过apache mod_proxy进行一个反向代理,80 apache端口, 7001 jetty端口
apache端口数据抓包: tcpdump tcp port 80 -n -s 0 -X -i eth0 注意:指定eth0网络接口
jetty端口数据抓包: tcpdump tcp port 7001 -n -s 0 -X -i lo 注意:指定Loopback网络接口
5. 只监控特定的ip主机
tcpdump tcp host 10.16.2.85 and port 2100 -s 0 -X
需要使用tcp表达式的组合,这里是host指示只监听该ip
小技巧:
1. 可结合tcpdump(命令) + wireshark(图形化)
操作:
- 在服务器上进行tcpdump -w /tmp/tcp.cap 指定输出外部文件
- scp /tmp/tcp.cap 拷贝文件到你本地
- wireshark & 启动wireshark
- 通过 File -> Open 打开拷贝下来的文件,这样就可以利用进行数据包分析了
- 剩下来的事就非常方便了
2. 服务器上直接安装wireshark + X11协议反向输出到本机
注意:
- wireshark如果要开启网络监控,需要通过root方式启动,否则无法直接通过网卡进行数据抓包
- X11的反向输出,需要客户机支持X11协议,如果是ubuntu天生支持很方便,如果是windows需要安装个软件
参考资料
- 李涛 邮件资料
- man tcp
- http://blog.sina.com.cn/s/blog_466c66400100bi2n.html~type=v5_one&label=rela_prevarticle
- http://www.iteye.com/topic/624598
- http://baike.baidu.com/view/76504.htm (tcpdump)
发表评论
-
yugong QuickStart
2016-03-05 01:52 0几点说明 a. 数据迁移的方案可参见设计文档,oracl ... -
阿里巴巴开源项目: 阿里巴巴去Oracle数据迁移同步工具
2016-03-05 18:29 6509背景 08年左右,阿里巴巴开始尝试MySQL的相关 ... -
愚公performance
2016-03-02 17:29 0性能测试 全量测试 场景1 (单主键, ... -
yugong AdminGuide
2016-03-02 16:40 0环境要求 操作系统 数据库 迁移方案 部署 ... -
Tddl_hint
2014-01-27 13:52 0背景 工作原理 Hint格式 direct模 ... -
tddl5分库规则
2014-01-26 14:41 0背景 工作原理 构建语法树 元数据 基于 ... -
tddl5优化器
2014-01-22 15:12 0背景 工作原理 构建语法树 元数据 抽象语 ... -
Canal BinlogChange(mariadb5/10)
2014-01-20 17:25 4587背景 先前开源了一个 ... -
asynload quickstart
2013-10-08 22:49 0几点说明: 1. asyncload是做为一个j ... -
网友文档贡献
2013-09-18 15:50 01. Otter源代码解析系列 链接:http://e ... -
Manager配置介绍
2013-09-16 13:00 0通道配置说明 多种同步方式配置 a. 单向同步 ... -
canal&otter FAQ
2013-09-05 17:30 0常见问题 1. canal和 ... -
阿里巴巴开源项目:分布式数据库同步系统otter(解决中美异地机房)
2013-08-22 16:48 40433项目背景 阿里巴巴B2B公司,因为业务的特性 ... -
Otter AdminGuide
2013-08-19 11:06 0几点说明 otter系统自带了manager,所以简化了一 ... -
Otter高可用性
2013-08-17 23:41 0基本需求 网络不可靠,异地机房尤为明显. man ... -
Otter数据一致性
2013-08-17 23:39 0技术选型分析 需要处理一致性的业务场景: 多地修改 ( ... -
Otter扩展性
2013-08-17 22:20 0扩展性定义 按照实现不同,可分为两类: 数据处理自定 ... -
Otter双向回环控制
2013-08-17 21:37 0基本需求 支持mysql/oracle的异构数据库的双 ... -
Otter调度模型
2013-08-17 20:13 0背景 在介绍调度模型之前,首先了解一下otter系统要解 ... -
Otter Manager介绍
2013-08-16 11:16 0背景 otter4.0发布至 ...
相关推荐
* 文件输入输出参数:-w 将抓包内容保存到指定到文件,并不打印出来;-r 从指定的文件中读取包。 * 其他参数:-n 不把网络地址转换成名字;-nn 不把端口和网络地址转换成名称;-t 在输出的每一行不打印时间戳;-v ...
TCP抓包分析通常涉及以下几个步骤: 1. 数据包捕获:使用libpcap或类似库,创建一个网络接口,监听并记录经过的TCP数据包。 2. 数据包过滤:通过设置过滤规则,只关注特定的TCP连接或特定端口的数据包。 3. 数据包...
2. 执行抓包:运行`sudo tcpdump -i <interface> [filter expression]`,`<interface>`是你要监听的网络接口,`filter expression`是可选的过滤条件,用于限制捕获的数据包类型。 3. 查看捕获结果:TCPdump会实时...
使用网络抓包工具对TCP和UDP进行抓包时,我们可以观察到以下几个关键点: 1. **连接建立与关闭**:对于TCP,可以观察三次握手和四次挥手的过程,了解连接建立和关闭的具体时间。 2. **数据传输**:可以看到每个...
本话题将围绕“Tcp&Udp测试工具和抓包工具及代码测试”展开,介绍相关的知识点和实用工具。 首先,TCP是一种面向连接的、可靠的协议,它确保数据包按顺序无丢失地传输。而UDP则是一种无连接的、不可靠的协议,其...
数据包抓包是网络分析的一种技术,通过捕获在网络中传输的数据包,可以查看网络通信的细节。这在故障排查、网络安全检测和恶意活动监控等方面非常有用。 在BT5中,Wireshark是最常用的抓包工具之一。Wireshark具有...
以下是关于"TCP UDP抓包 发送TCP UDP报文"这一主题的详细知识讲解: 首先,抓包工具是网络调试中的重要辅助软件,它们能够捕获网络中的数据包,以便分析通信过程中的问题。常见的抓包工具有Wireshark、 tcpdump等。...
网络抓包工具是一种用于捕获网络中数据传输的软件,它们可以帮助我们监控、记录和分析网络流量,以解决网络问题、进行性能优化或确保网络安全。本文将深入探讨网络抓包工具的重要性和使用方法,以及如何利用提供的...
在UDP网络抓包过程中,可能会遇到以下几个关键知识点: 1. **端口映射**:每个UDP数据包包含源端口和目标端口,用于标识发送和接收数据的应用进程。理解端口的作用和分配规则对于识别应用程序通信至关重要。 2. **...
然而,在Android设备上,由于权限限制,通常使用命令行工具`tcpdump`进行网络抓包。`tcpdump`是一个强大的网络分析工具,可以实时捕获和记录网络中的数据包。 2. **Android权限配置** 在Android系统上运行tcpdump...
本文将深入探讨如何使用TCPDump进行抓包,包括基本命令、过滤器和高级技巧。 首先,让我们来看一下TCPDump的基本用法。在命令行中,我们通常以以下格式启动TCPDump: ```bash tcpdump [参数] [过滤表达式] ``` 1....
本篇将重点介绍Android TPC(TCP)抓包工具及其使用方法。 首先,我们要知道TCP(Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,广泛应用于互联网通信。在Android设备上...
在计算机网络领域,抓包(Packet Capture)是一种重要的技术,用于监测和分析网络通信数据。本次实验主要关注抓包工具的使用以及如何解读捕获的数据,以深入理解网络通信过程。下面将详细介绍抓包的基本概念、常用...
使用tcpdump进行手机网络抓包时,需要注意以下几点: - **权限要求**:由于涉及到敏感的网络数据,通常需要获取设备的root权限才能执行。 - **数据安全**:抓包过程中会暴露大量敏感信息,因此在非必要情况下应避免...
抓包通常基于以下几种技术: - **原始套接字(Raw Socket)**:允许应用程序直接访问底层网络协议栈的数据报文,从而实现对数据包的捕获。 - **网络接口卡(NIC)**:利用网卡的混杂模式(Promiscuous Mode)来捕获...
在网络抓包过程中,需要注意以下几点: 1. 权限:为了捕获网络数据包,抓包工具通常需要管理员权限。 2. 隐私与法律:在进行网络抓包时,必须遵守当地的隐私法规,确保不侵犯他人隐私。 3. 安全风险:抓包可能导致...
Go-xdpcap是针对XDP(eXpress Data Path)数据抓包的工具,它在功能上类似于经典的tcpdump,但专为处理XDP层的数据包提供了更高效的解决方案。XDP是Linux内核中一个低级别的网络处理框架,允许在数据包进入网络堆栈...
Socket抓包程序是一种用于捕获网络数据包的工具,它可以帮助开发者、网络安全专家以及学习者了解网络通信的细节。在IT行业中,理解网络协议和数据传输过程是非常关键的技能,而socket抓包程序则为此提供了直观的窗口...
标题中的“基于博特CPE和华为路由器搭建GRE隧道网络GRE抓包”表明我们要讨论的是如何使用博特 Customer Premises Equipment (CPE) 和华为路由器建立一个通用路由封装(Generic Routing Encapsulation, GRE)隧道,并...
"scan"代码提供了一种实现抓包功能的方式,它可能包含了数据包的捕获、解析和显示等功能,对于初学者来说,是学习网络底层运作的绝佳实践。 接着,我们转向端口扫描。端口扫描是网络安全领域的一个重要概念,主要...