Linux下的抓包 tcpdump

公司Linux下socket对接时发现接口中老是报错，因此研究了一下Linux下的抓包

tcpdump host #IP地址#            //获取主机210.27.48.1接收或发出的telnet包

1. tcpdump参数的主要选项

-i ：指定网卡 默认是 eth0   
-n ：线上ip，而不是hostname
-c ：指定抓到多个包后推出
-A：以ASCII方式线上包的内容，这个选项对文本格式的协议包颇有用
-x：以16进制显示包的内容
-vvv：显示详细信息
-s ：按包长截取数据；默认是60个字节；若是包大于60个字节，则抓包会出现丢数据；因此咱们通常会设置 -s 0 ；这样会按照包的大小截取数据；抓到的是完整的包数据
-r：从文件中读取【与 -w 对应，/usr/sbin/tcpdump -r test.out  读取 tcpdump -w  test.out】
-w：处处指向文件【必定要用，-w t.out ，而后用 -r t.out 来看抓包信息，不然可读性不好】
 

2.  tcpmdump 抓包出来分析包的具体含义

1.        包携带的标志：

• S：S=SYC  ：发起链接标志
• P：P=PUSH：传送数据标志
• F：F=FIN：关闭链接标志
• ack：表示确认包
• RST=RESET：异常关闭链接
• . 表示没有任何标志

第一行： S：表示 clinet.hostname 的临时端口50741向 server.hostname 80 端口发起链接，client 的初始包序号是： 562843056  ；滑动窗口(win 14480)的大小是：14480 [14k]  滑动窗口即tcp 接收缓冲区的大小，用于tcp 拥塞控制；mss 1460：能够接收的最大包长度，一般是MTU - 40 byte；IP头和TCP头各20byte
    第二行： S：表示SYN状态；是server.hostname 对第一行 clinet.hostname 发起链接的请求的回应；同时带上client 端 初始包序号 + 1：ack 562843057 ，即server.hostname 下次等待接收这个包序号的包，用于tcp 字节流的顺序控制(?). server.hostname 初始包序列号：2306923370 
   第三行：client.hostname 再次确认，tcp链接完成三次握手
。
   第四行：P：推送数据    client.hostname  经过 50741 端口向 server.hostname 发送数据包；数据包大小是 1005byte ；第五行是 server.hostname 响应这个数据包发送，接收这个数据包。----> 当完成后会出现一个 server.hostname     F   关闭链接的数据包，这里没有抓取
第6行   ---->10行是对 1-5行的重复；由于机器是web服务是并发的。