使用 tcpdump 来了解 tcp 工作流程

原创

祥祥

修改于 2021-01-25 10:36:24

1K0

修改于 2021-01-25 10:36:24

文章被收录于专栏：大写的CPP大写的CPP

环境准备

我用的是 win10 下的 WSL2 环境。

WSL2 下安装 tcpdump，netcat
安装 wireshark

下面示例基本流程是：

启动 tcpdump 进行抓包，抓包结果写入到文件里
使用 netcat 启动简单的 tcp 监听服务
然后使用 netcat 连接此服务，发送若干数据，让 tcpdump 有包可抓
在 windows 下使用 wireshark 分析包的详细数据

构造样例

进入 WSL2 环境下，使用 ifconfig 查看网卡信息：

xiang@MSI:/mnt/c/Users/xiang$ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.29.184.251  netmask 255.255.240.0  broadcast 172.29.191.255
        inet6 fe80::215:5dff:fe5e:ed92  prefixlen 64  scopeid 0x20<link>
        ether 00:15:5d:5e:ed:92  txqueuelen 1000  (Ethernet)
        RX packets 2091  bytes 306842 (306.8 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 79  bytes 6426 (6.4 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 371  bytes 4049004 (4.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 371  bytes 4049004 (4.0 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

由于我们接下来直接在 127.0.0.1 下测试，所以我们只需要监听此 ip 下的数据即可。

sudo tcpdump -i lo  # 再加上 -w filename 可以把抓包内容写到文件里；可以先不写文件，直接在命令行下查看结果

进入 WSL2 下，执行命令，启动监听 8000 端口的 tcp 服务。

nc -l 8000

打开新的 WSL2 窗口，执行命令，连接本机的 8000 端口

nc 127.0.0.1 8000

这时，我们看到 tcpdump 下有内容输出：

12:07:24.920952 IP localhost.47152 > localhost.8000: Flags [S], seq 2397915828, win 65495, options [mss 65495,sackOK,TS val 2047998107 ecr 0,nop,wscale 7], length 0
12:07:24.920972 IP localhost.8000 > localhost.47152: Flags [S.], seq 3312485390, ack 2397915829, win 65483, options [mss 65495,sackOK,TS val 2047998107 ecr 2047998107,nop,wscale 7], length 0
12:07:24.920979 IP localhost.47152 > localhost.8000: Flags [.], ack 1, win 512, options [nop,nop,TS val 2047998107 ecr 2047998107], length 0

这就是 tcp 的三次握手：

01 本机 47152 端口向本机 8000 端口发送标志位 SYN 的数据包

[S] 代表 SYN
seq 代表客户端初始序列号，
win 是通告窗口大小，
options 是 tcp 选项，包括
- mss tcp 最大分段长度
- sackOK 代表可以支持 sack 功能
- wscale 是 7，代表后续传输的 win 的大小要乘以 2 的 7次方，才是真正的通告窗口大小。（因为 tcp 头部通告窗口大小只有 16bit，最大表示 65536，在高速网络时代吃不满带宽，所以在 tcp 选项里加了 wscale 的功能，便于高速传输）
- TS val 是当前 tcp 分段的时间戳（并不是真正意义的时间戳，只是为了区分包的创建时间，防止接收到）
- ecr - Echo Reply，是上次对方 TS val 的值。因为这里是第一次 SYN，所以为 0
- nop 是对齐补位，无实际意义
length 0 实际传输的内容是空的

02 8000 服务端发送 ACK 响应 SYN，同时也会发送 SYN

[S.] 代表 SYN + ACK
seq 是服务端初始序列号
ack 是客户端的初始序列号 +1
...
options
- sackOK 代表服务端也支持 sack，则双方可以使用 sack 功能通信
- ecr ，这里的 ecr 就是上一个包的 TS val值

03 客户端的第三次 ack

[.] 代表 ACK

我们在 nc 客户端下输入 hello，然后回车，这时候服务端会收到 hello，tcpdump 数据：

12:34:34.016955 IP localhost.47152 > localhost.8000: Flags [P.], seq 1:7, ack 1, win 512, options [nop,nop,TS val 2049627203 ecr 2047998107], length 6
12:34:34.017003 IP localhost.8000 > localhost.47152: Flags [.], ack 7, win 512, options [nop,nop,TS val 2049627203 ecr 2049627203], length 0

01 客户端发送 hello

[p.]代表 PUSH + ACK，客户端向服务端 push 数据
seq 显示 1:7 代表发送的是那些字节的数据，
- 实际 seq 的值并不是 1:7，这里是 tcp 客户端为了便于查看，对初始序列号做了减法
这里的 win 是 512，实际的通告窗口大小是 512 * 2^7（7 是握手时候的 wscale） = 65536

02 服务端 ack

在 nc 客户端下按 ctrl + c 断开连接，tcpdump 的数据：

12:43:32.214698 IP localhost.47152 > localhost.8000: Flags [F.], seq 7, ack 1, win 512, options [nop,nop,TS val 2050165400 ecr 2049627203], length 0
12:43:32.214879 IP localhost.8000 > localhost.47152: Flags [F.], seq 1, ack 8, win 512, options [nop,nop,TS val 2050165401 ecr 2050165400], length 0
12:43:32.214949 IP localhost.47152 > localhost.8000: Flags [.], ack 2, win 512, options [nop,nop,TS val 2050165401 ecr 2050165401], length 0

只有三次挥手！所以说：tcp 断开连接【一般】是四次挥手。这里是三次是因为传统意义的 2、3 步骤合并了。

01 客户端主动断开，发送 FIN + ACK

02 服务端接收到后，发送 ACK（=客户端 seq+1），同时发送 FIN（因为服务端也没有数据要发送给客户端了，所以直接合并成一条了）

03 客户端 last ack