网络传输(TCP)

前言

我们tcpdump抓包时会看到除报文数据外,前面还有一段其他的数据,这段数据分为两部分,ip包头(一般20字节)和tcp包头(一般20字节),一般这两个头长度和为40,我们直接跳过抓取的数据前40字节及为我们需要分析的有效数据。

测试环境为centos7,以下截图使用netcat(yum -y install nc安装)进行测试,服务端192.168.11.19监听9999端口,客户端192.168.17.143。服务端执行nc -l 9999,客户端执行nc 192.168.11.19 9999,直接再终端打字回车键发送。(注:netcat工具发送的tcp包头带有套接字选项,头长度为32字节)

一、以太网帧(64-1518字节,Ethernet II,链路层协议)

1.1 字段分布

  • 目标端MAC:6字节
  • 源端MAC:6字节
  • IP协议类型:2字节(0x0800代表IPv4协议,0x86DD代表IPv6协议)
  • 数据:46-1500字节
  • CRC校验码:4字节

1.2 示例解析(tcpdump 加上-XX选项可打印帧头的14字节)

1.3 依据帧大小限制的补位和切片

因为Ethernet II协议的最小长度为64,最大长度为1518,抛开帧头和帧尾的18字节,最小传输单元为46,最大传输单元(MTU)值为1500。通常IP包头长20字节,TCP包头也为20字节,则一般的最小报文段长度为6、最大报文段长度(MSS)为1460。以IP包头20字节TCP包头20字节为例,即当我们发送一个空报文是,协议会自动补6字节空数据(如下图),而当我们发送1MB的数据时协议则会将其切片分成1024*1024/1460=719个包逐个发送。

二、IP包头(20-60字节)

2.1 字段分布

  • 版本号+头长度+服务类型:2字节(共计8位,前四位代表包头长度,单位为4字节)
  • 数据总长:2字节
  • 一些信息字段:8字节
  • 源端ip:4字节
  • 目标端ip:4字节
  • 可选项:0-40字节(可变,不足四字节倍数则进行填充)

2.2 示例解析(此处118f对应ip包头结束,后面为tcp包头)

三、 tcp包头(20-60字节,不设置sockopt时就为20字节)

3.1 字段分布

  • 源端口号:2字节
  • 目标端口号:2字节
  • 数据id:4字节
  • 确认id:4字节
  • 偏移位+保留域+控制位:2字节(共计16位,前四位代表包头长度,单位为4字节)
  • 窗口大小:2字节
  • 校验码:2字节
  • 紧急指针:2字节
  • 套接字选项:0-40字节(可变,不足四字节倍数则进行填充,setsockopt时该字段将被赋值)

3.2 示例解析

3.3 常见套接字选项

  • TCP_NODELAY:立即发送选项,tcp发送小报文是会根据Nagle算法等待缓存达到最大数据长度(MSS)满后或者超时200ms时才发送,使用该选项后小报文将即可发送不等待。
  • SO_REUSEADDR:服务端重启时原来监听的端口会在TIME_WAIT状态导致不能立马监听成功,需要等待TIME_WAIT结束(2MIN)才能冲新监听成功。为保证服务端重启时效性需要设置该选项。
  • TCP_MAXSEG:最大数据长度设置,一般以太网帧最大长度为1460,设置此选项可将此长度设小以此提高网络传输效率。

四、tcpdump捕获有效数据

4.1 命令:tcpdump -i ens192 -n -X host 192.168.11.19 and port 9999 -vvv -tttt   (指定一个网卡、ip 和端口号进行转包)  注:此处只使用一个-X选项打印16进制,若使用-XX打印的话还会额外打出以太网帧的一些信息。

4.2 示例(只要读取sequence信息行的length字段,表示有效的数据长度,报文尾部开始读取该长度及为我们抓取的数据)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/340389.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

一些很实用的技巧提高自动化测试覆盖率

自动化测试一直是测试人员的核心技能,也是测试的重要手段之一。尤其是在今年所谓的互联网寒冬的行情下,各大企业对测试人员的技术水平要求的很高,而测试人员的技术水平主要集中在三大自动化测试领域,再加测试辅助脚本的编写&#…

零样本学习研究方向sci四区期刊总结

APPLIED OPTICS sci 四区 非OA 出版商:OPTICA 期刊官方网站: http://www.opticsinfobase.org/ao/home.cfm 期刊投稿网址: http://www.opticsinfobase.org/ao/journal/ao/author.cfm#submit 虽然有zsl的名字但是这是全息图像专刊,跟我的方向应该不是太相关。 MO…

对git中tag, branch的重新理解

1. 问题背景 项目中之前一个tag(v1.0)打错了,想删除它,但我们从此tag v1.0中迁出新建分支Branch_v1.0,在此分支下修复了bug,想重新打一个tag v1.0,原来的tag v1.0可以删除掉吗? 错误的理解&am…

基于Python的影视数据智能分析系统开发

1. 前言 数据分析与可视化是当今数据分析的发展方向,大数据时代,数据资源具有海量特征,数据分析和可视化主要通过Python数据分析来实现。 基于Python的数据分析可视化和技术实现是目前Python数据分析的主要目的,Python可以为数据…

从零学Java Set集合

Java Set集合 文章目录 Java Set集合1 Set 集合2 Set实现类2.1 HashSet【重点】2.2 LinkedHashSet2.3 TreeSet 3 Comparator 自定义比较器 1 Set 集合 特点:无序无下标、元素不可重复。 方法:全部继承自Collection中的方法。 常用方法: publ…

(超详细)4-YOLOV5改进-添加ShuffleAttention注意力机制

1、在yolov5/models下面新建一个SE.py文件,在里面放入下面的代码 代码如下: import numpy as np import torch from torch import nn from torch.nn import init from torch.nn.parameter import Parameterclass ShuffleAttention(nn.Module):def __…

第一个动态结构:链表

王有志,一个分享硬核Java技术的互金摸鱼侠加入Java人的提桶跑路群:共同富裕的Java人 今天我们一起学习线性表中的第二种数据结构:链表,也是真正意义上的第一个动态数据结构。今天的内容分为3个部分:认识链表&#xff0…

找不到msvcr120.dll怎样修复,分享4种修复方法

msvcr120.dll是Microsoft Visual C 2012 Redistributable Package的一个关键组件,负责提供C运行时库。许多应用程序在运行时都需要依赖这个库文件。然而,在日常使用过程中,不少用户会遇到msvcr120.dll丢失的问题,导致程序无法正常…

2024,AI Agent的密集爆发之年

最近这几天,相信已经有很多朋友看到了关于GPT Store、Vision Pro、Rabbit R1、AI pin、英伟达ACE(Avatar Cloud Engine)、钉钉个人助理、荣耀MagicOS 8.0等各类和AI技术深度结合的AI Agent或者承载AI Agent的平台。有些是和个人应用相关&…

Macos下修改Python版本

MacOS下修改Python版本 安装 查看本机已安装的Python版本:where python3 ~ where python3 /usr/bin/python3 /usr/local/bin/python3 /Library/Frameworks/Python.framework/Versions/3.12/bin/python3如果没有你想要的版本,去python官网下载安装包。…

软件安全测评需要关注哪些?湖南CMA、CNAS软件测试公司推荐

在当今信息化的社会,软件安全问题日益凸显,给个人和企业的数据安全造成了极大的威胁。为了保障软件的安全性,软件安全测评应运而生。 软件安全测评是通过对软件系统的评估,发现其中存在的安全漏洞和风险,为软件的开发…

数据结构栈、队列、链表、散列表

栈(stack) 栈(stack)是限制插入和删除只能在一个位置上进行的表,该位置是表的末端,叫做栈顶(top)。它是后进先出(LIFO)的。对栈的基本操作只有 push&#xf…