tcpdump的输出分析

以前在TCP卷一里，看到过tcpdump的使用。当时，没太在意，尤其它输出的格式，因为不熟悉，更不愿去用它。这段时间的开发，用socket比较多。在遇到问题时，仅从socket api函数的返回值，往往看不出问题的实质。

后来，经laser提醒，才知道tcpdump的强大。这里不想介绍tcpdump的选项，我只想举一些实例，以便给自己作个笔记。

使用以下命令，监听15001端口的tcp连接，-X 表示以16进制显示报文，-s 0 表示显示整个ip报的内容(默认为68bytes)，但如果太长的话，tcpdump的缓冲区可能不够用而引发丢失报文：

$ tcpdump 'port 15001 and tcp' -X -s 0

例如，使用telnet发起连接：
yunkai@lsyp1002:~/tmp $ telnet 10.111.112.7 15001
Trying 10.111.112.7...
Connected to 10.111.112.7 (10.111.112.7).
Escape character is '^]'.
$W2,53,100,200,057181932602,13656645563,85022088,#
$X2,14,100,1,#^]
telnet> quit

Connection closed. 

tcpdump的输出如下：

root@lsyp1002:~ # /usr/sbin/tcpdump 'port 15001 and tcp' -X -s 0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:37:07.448992 IP lsyp1002.xxx.xxxx.com.58939 > 10.111.112.7.15001: S 3188757698:3188757698(0) win 5840
    0x0000:  4510 003c df87 4000 4006 e10b cbd1 fe80  E..<..@.@.......
    0x0010:  3cbf 7307 e63b 3a99 be10 94c2 0000 0000  <.s..;:.........
    0x0020:  a002 16d0 c44c 0000 0204 05b4 0402 080a  .....L..........
    0x0030:  33dd 4b45 0000 0000 0103 0307            3.KE........

• client（lsyp1002.xxx.xxxx.com.58939）向server（10.111.112.7.15001）发送一个SYN

 13:37:07.486678 IP 10.111.112.7.15001 > lsyp1002.xxx.xxxx.com.58939: S 1646598539:1646598539(0) ack 3188757699 win 5792
    0x0000:  4500 003c 0000 4000 3506 cba3 3cbf 7307  E..<[email protected]...<.s.
    0x0010:  cbd1 fe80 3a99 e63b 6225 198b be10 94c3  ....:..;b%......
    0x0020:  a012 16a0 efe2 0000 0204 05b4 0402 080a  ................
    0x0030:  db22 7db5 33dd 4b45 0103 0307            ."}.3.KE....

• server向client响应一个(SYN,ACK)

13:37:07.486692 IP lsyp1002.xxx.xxxx.com.58939 > 10.111.112.7.15001: . ack 1 win 46
    0x0000:  4510 0034 df88 4000 4006 e112 cbd1 fe80  E..4..@.@.......
    0x0010:  3cbf 7307 e63b 3a99 be10 94c3 6225 198c  <.s..;:.....b%..
    0x0020:  8010 002e 34fb 0000 0101 080a 33dd 4b6b  ....4.......3.Kk
    0x0030:  db22 7db5                                ."}.

• client向server响应一个ACK，至此，经典的TCP三次握手完成。

13:37:15.996335 IP lsyp1002.xxx.xxxx.com.58939 > 10.111.112.7.15001: P 1:53(52) ack 1 win 46
    0x0000:  4510 0068 df89 4000 4006 e0dd cbd1 fe80  E..h..@.@.......
    0x0010:  3cbf 7307 e63b 3a99 be10 94c3 6225 198c  <.s..;:.....b%..
    0x0020:  8018 002e 296c 0000 0101 080a 33dd 6ca9  ....)l......3.l.
    0x0030:  db22 7db5 2457 322c 3533 2c31 3030 2c32  ."}.$W2,53,100,2
    0x0040:  3030 2c30 3537 3138 3139 3332 3630 322c  00,057181932602,
    0x0050:  3133 3635 3636 3435 3536 332c 3835 3032  13656645563,8502
    0x0060:  3230 3838 2c23 0d0a                      2088,#..

• client向server发送(PSH)数据：$W2,53,100,200,057181932602,13656645563,85022088,#

13:37:16.034003 IP 10.111.112.7.15001 > lsyp1002.xxx.xxxx.com.58939: . ack 53 win 46
    0x0000:  4500 0034 6457 4000 3506 6754 3cbf 7307  [email protected]<.s.
    0x0010:  cbd1 fe80 3a99 e63b 6225 198c be10 94f7  ....:..;b%......
    0x0020:  8010 002e f224 0000 0101 080a db22 9f19  .....$......."..
    0x0030:  33dd 6ca9                                3.l.

• server响应一个ack，表明收到了数据，并期待53序号后面的数据

 13:37:16.186581 IP 10.111.112.7.15001 > lsyp1002.xxx.xxxx.com.58939: P 1:15(14) ack 53 win 46
    0x0000:  4500 0042 6458 4000 3506 6745 3cbf 7307  [email protected]<.s.
    0x0010:  cbd1 fe80 3a99 e63b 6225 198c be10 94f7  ....:..;b%......
    0x0020:  8018 002e b507 0000 0101 080a db22 9fb2  ............."..
    0x0030:  33dd 6ca9 2458 322c 3134 2c31 3030 2c31  3.l.$X2,14,100,1
    0x0040:  2c23                                     ,#

• server的对client作出应答，向client PSH数据：$X2,14,100,1,#

 13:37:16.186591 IP lsyp1002.xxx.xxxx.com.58939 > 10.111.112.7.15001: . ack 15 win 46
    0x0000:  4510 0034 df8a 4000 4006 e110 cbd1 fe80  E..4..@.@.......
    0x0010:  3cbf 7307 e63b 3a99 be10 94f7 6225 199a  <.s..;:.....b%..
    0x0020:  8010 002e f0bf 0000 0101 080a 33dd 6d67  ............3.mg
    0x0030:  db22 9fb2                                ."..

• client收到server的数据，进行ack确认

13:37:38.620338 IP lsyp1002.xxx.xxxx.com.58939 > 10.101.10.7.15001: F 53:53(0) ack 15 win 46
    0x0000:  4510 0034 df8b 4000 4006 e10f cbd1 fe80  E..4..@.@.......
    0x0010:  3cbf 7307 e63b 3a99 be10 94f7 6225 199a  <.s..;:.....b%..
    0x0020:  8011 002e 991c 0000 0101 080a 33dd c509  ............3...
    0x0030:  db22 9fb2                                ."..

• 当向telnet发送quit命令时，telnet进行主动关闭，其向server发送FIN结束信号

 13:37:38.658459 IP 10.101.10.7.15001 > lsyp1002.xxx.xxxx.com.58939: F 15:15(0) ack 54 win 46
    0x0000:  4500 0034 6459 4000 3506 6752 3cbf 7307  [email protected]<.s.
    0x0010:  cbd1 fe80 3a99 e63b 6225 199a be10 94f8  ....:..;b%......
    0x0020:  8011 002e 4152 0000 0101 080a db22 f77b  ....AR.......".{
    0x0030:  33dd c509                                3...

• server端回应(FIN，ack)信息，即表示收到了client的结束信号，也表示它也将关闭服务端的连接

 13:37:38.658474 IP lsyp1002.xxx.xxxx.com.58939 > 10.101.10.7.15001: . ack 16 win 46
    0x0000:  4510 0034 df8c 4000 4006 e10e cbd1 fe80  E..4..@.@.......
    0x0010:  3cbf 7307 e63b 3a99 be10 94f8 6225 199b  <.s..;:.....b%..
    0x0020:  8010 002e 412c 0000 0101 080a 33dd c52f  ....A,......3../
    0x0030:  db22 f77b                                .".{

• client对server的FIN信号进行确认。

这就是从发起连接－>传送数据－>关闭连接的全过程。

 

以下分析tcpdume输出的数据，取以下这次输出作为样例：

13:37:15.996335 IP lsyp1002.xxx.xxxx.com.58939 > 10.101.10.7.15001: P 1:53(52) ack 1 win 46
    0x0000:  4510 0068 df89 4000 4006 e0dd cbd1 fe80   E..h..@.@.......
    0x0010:  3cbf 7307 e63b 3a99 be10 94c3 6225 198c   <.s..;:.....b%..
    0x0020:  8018 002e 296c 0000 0101 080a 33dd 6ca9   ....)l......3.l.
    0x0030:  db22 7db5 2457 322c 3533 2c31 3030 2c32   ."}.$W2,53,100,2
    0x0040:  3030 2c30 3537 3138 3139 3332 3630 322c   00,057181932602,
    0x0050:  3133 3635 3636 3435 3536 332c 3835 3032   13656645563,8502
    0x0060:  3230 3838 2c23 0d0a                       2088,#..

红色部分，为IP数据报的首部，共20字节。
蓝色部分，为TCP数据报的首部，共8*32bit=32个字节。
灰色部分，为TCP的DATA部分。

TCP的首部，没有DATA的长度信息，因为IP的首部已经包含了整个IP包的共长度，可以由下面的减法求出DATA的长度：

length(TCP.DATA) = IP包的总长度 - IP首部长度 - TCP首部长度