侧边栏壁纸
博主头像
suke

ah?

  • 累计撰写 54 篇文章
  • 累计创建 38 个标签
  • 累计收到 103 条评论

目 录CONTENT

文章目录

tcpdump抓包解释一次请求的过程

suke
2020-05-21 / 0 评论 / 0 点赞 / 1,033 阅读 / 2,767 字 / 正在检测是否收录...
温馨提示:
本文最后更新于 2021-07-22,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。
Flags中参数解释
Flags are some combination  of  S  (SYN),  F(FIN), P (PUSH), R (RST), U (URG), W (ECN CWR), E (ECN-Echo) or `.' (ACK), or `none' if no flags are set. 

抓取主机192.168.0.104和主机180.101.49.11的通信

[root@ecs-1c9f-0004 network-scripts]# tcpdump host 192.168.0.104 and 180.101.49.11
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
 

基础:主机向180.101.49.11发送请求 curl 180.101.49.11
逐行解析

第一次握手

Flags [S]:发送syn请求

10:26:11.350025 IP ecs-1c9f-0004.51786 > 180.101.49.11.http: Flags [S], seq 458741837, win 29200, options [mss 1460,sackOK,TS val 82802261 ecr 0,nop,wscale 7], length 0
第二次握手

Flags [S.]:目标地址回复确认 S -> syn, . -> ack

10:26:11.362155 IP 180.101.49.11.http > ecs-1c9f-0004.51786: Flags [S.], seq 4283621899, ack 458741838, win 8192, options [mss 1452,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 5], length 0
第三次握手

Flags [.]:主机再次向目标地址发送确认 . -> ack

10:26:11.362196 IP ecs-1c9f-0004.51786 > 180.101.49.11.http: Flags [.], ack 1, win 229, length 0
三次握手完成后开始发送数据包

Flags [P.]首先主机向目标地址发送数据包并携带ack,目标地址携带ack响应。同样的目标地址和主机通信时也会以同样的方式,先发送请求,然后主机响应ack确认。

10:26:11.362252 IP ecs-1c9f-0004.51786 > 180.101.49.11.http: Flags [P.], seq 1:78, ack 1, win 229, length 77: HTTP: GET / HTTP/1.1
10:26:11.374481 IP 180.101.49.11.http > ecs-1c9f-0004.51786: Flags [.], ack 78, win 908, length 0
10:26:11.375616 IP 180.101.49.11.http > ecs-1c9f-0004.51786: Flags [P.], seq 1453:2869, ack 78, win 908, length 1416: HTTP
10:26:11.375653 IP ecs-1c9f-0004.51786 > 180.101.49.11.http: Flags [.], ack 2869, win 274, length 0

建立通信的基础:路由寻址,以下演示:ping www.baidu.com
路由表:

[root@standby01 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.99.1    0.0.0.0         UG    100    0        0 eth0
192.168.99.0    0.0.0.0         255.255.255.0   U     100    0        0 eth0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

问题一: 在DNS解析后拿到目标地址IP之后目标地址和主机如何建立通信,然后再发送数据包?

路由表中进行路由判定,eg:目标地址:172.17.1.5 主机路由表如上图所示。判定过程为:第一步 目标ip和网络掩码 Genmask列中的地址做与运算,得到Destination中对应的值 172.17.1.5 和 255.255.255.0 得到的与运算结果还是自己172.17.1.5,所以上面表格中的第二行淘汰了,看第一行判定: 0.0.0.0 与 172.17.1.5做运算结果得到0.0.0.0符合,也就是这个位置中的Gateway就是目标地址的下一跳

问题二: 0.0.0.0为什么就判定成功了?

网络中0.0.0.0的IP地址表示整个网络,即网络中的所有主机 这里又关联到一个数据链路层和网络层的东西ARP,在上述请求中如果目标地址在ARP缓存中没有找到地址的话,就会将当前的ip广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配,它将丢弃ARP请求。

问题三:下一跳?

这个词就是网络中寻址的关键词,全球建立的网络连接就是基于下一跳,通过这种方式实现基础通信,比如在购买云服务器的时候(华为云)就有个下一跳查看.

0

评论区