91精品人妻一区二区三区不卡,高清无码不卡免费不卡免费,日批免费视频在线观看

本文目錄一覽

1，抓包的含義是
2，CSOL什么是抓包
3，web抓包工具有哪些
4，請問什么叫抓包
5，什么是抓包技術(shù)如何利用抓包技術(shù)
6，如何在 Android 手機上實現(xiàn)抓包

1，抓包的含義是

抓包的真正含義是通過專門的軟件捕獲所有通過計算機網(wǎng)卡的網(wǎng)絡(luò)數(shù)據(jù)包,并通過分析數(shù)據(jù)包顯示的內(nèi)容,獲得有用信息.

抓包的含義是

2，CSOL什么是抓包

呵呵。抓包其實是抓包器是抽箱子的外掛。強烈建議別用。雖然能抽中金勛但是會封號。得不償失。

j抓包就是最早的G，就是用工具把你的電腦和服務(wù)器之間的傳輸數(shù)據(jù)截下來，然后做個假的數(shù)據(jù)包發(fā)回去欺騙官方，這就是最早的WG、

應(yīng)該是撿包吧抓包？我還真沒聽說過

CSOL什么是抓包

3，web抓包工具有哪些

HTTP Analyzer界面非常直觀,無需選擇要抓包的瀏覽器或者軟件，直接全局抓取，很傻瓜化，但是功能決定不簡單。其他抓包工具有的功能它有，其他沒有的功能它也有。點擊start即可進行抓包,紅色按鈕停止抓包，停止按鈕右邊的就是暫停抓包按鈕。HttpWatch界面和HTTP Analyzer有點像，但是功能少了幾個。而且只能附加到瀏覽器進行抓包。附加的辦法：打開瀏覽器-》查看-》瀏覽器欄-》HttpWatch，然后點record即可抓包。特點：抓包功能強大，但是只能依附在IE上。Post提交的數(shù)據(jù)只有參數(shù)和參數(shù)的值，沒有顯示提交的url編碼數(shù)據(jù)。HTTPDebugger同樣是全局抓包，抓包和停止抓包同個按鈕。軟件界面感覺沒有那么友好，POST的數(shù)據(jù)只能在requestcontent內(nèi)查看，只顯示提交的url編碼數(shù)據(jù)

1.WiresharkWireshark在windows、mac、linux都有自己的版本，是圖形化抓包軟件的最為流行的一種，針對黑客，網(wǎng)絡(luò)管理員和安全工作這都是必備之物。網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題；網(wǎng)絡(luò)安全工程師使用Wireshark來檢測資訊安全相關(guān)問題；開發(fā)者使用Wireshark來為新的通訊協(xié)定出錯；普通使用者使用Wireshark來學(xué)習網(wǎng)絡(luò)協(xié)定的相關(guān)知識。2.tcpdumptcpdump可以抓所有層的數(shù)據(jù)，功能十分強大，Linux作為網(wǎng)絡(luò)服務(wù)器，特別是作為路由器和網(wǎng)關(guān)時，數(shù)據(jù)的采集和分析是不可少的。tcpdump以其強大的功能，靈活的截取策略，成為每個高級的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問題等所必備的工具之一。3.httpwatchHttpWatch是強大的網(wǎng)頁數(shù)據(jù)分析工具，集成在InternetExplorer工具欄，包括網(wǎng)頁摘要。Coakies管理，緩存管理，消息頭發(fā)送/接受，字符查詢，POST數(shù)據(jù)和目錄管理功能，報告輸出。HttpWatch是一款能夠收集并顯示深層信息的軟件。它下用代理服務(wù)期或一些復(fù)雜的網(wǎng)絡(luò)監(jiān)控工具,就能夠在顯示網(wǎng)頁同時號示網(wǎng)頁請求和回應(yīng)的日志信息。甚至可以顯示瀏覽器緩存和IE之間的交接信息。集成在Intemet Explorer工具欄.4、Burpsuite目前Web安全滲透,是必須的工具,沒有之一，功能十分強大,BurpSu是用于攻擊web應(yīng)用程序的集成平臺它包含了許多工具,并為這些工具設(shè)計了許多接口，以促進加快攻擊應(yīng)用程序的過程。所有的工具都共亨一個能處理并顯示HTTP消息、持久性、認證、代理, 日志、警報的一個強大的可擴展的框架5.Fiddler目前最常用的Web報文滲透工具,功能十分強大,可以最為本地代理，報文重放等等。Fiddler是一個http協(xié)議調(diào)試代理工具，它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的Http通訊，設(shè)稈斷點,查看所有的"進出"Fiddler的數(shù)據(jù)(指cookie ，html ，js，css等文件，這些都可以讓你胡亂修改的意思)。Fiddler 要比其他的網(wǎng)絡(luò)調(diào)試器要更加簡單，因為它不僅僅暴露http 通訊還提供了一個用戶友好的格式。6、CharlesCharles支持抓取http、https協(xié)議的請求,不支持socket。使用情況和fiddler基本大同小異，也是很常用的抓包工具。如果回答還可以，請采納

沒看懂什么意思？

web抓包工具有哪些

4，請問什么叫抓包

你是網(wǎng)絡(luò)管理員嗎？你是不是有過這樣的經(jīng)歷：在某一天的早上你突然發(fā)現(xiàn)網(wǎng)絡(luò)性能急劇下降，網(wǎng)絡(luò)服務(wù)不能正常提供，服務(wù)器訪問速度極慢甚至不能訪問，網(wǎng)絡(luò)交換機端口指示燈瘋狂地閃爍、網(wǎng)絡(luò)出口處的路由器已經(jīng)處于滿負荷的工作狀態(tài)、路由器CPU已經(jīng)到了百分之百的負荷……重啟動后沒有幾分鐘現(xiàn)象又重新出現(xiàn)了。這是什么問題？設(shè)備壞了嗎？不可能幾臺設(shè)備同時出問題。一定是有什么大流量的數(shù)據(jù)文件，耗盡了網(wǎng)絡(luò)設(shè)備的資源，它們是什么？怎么看到它們？這時有經(jīng)驗的網(wǎng)管人員會想到用局域網(wǎng)抓包工具來分析一下。你一定聽說過紅色代碼、Nimda、沖擊波以及震蕩波這些臭名昭著的網(wǎng)絡(luò)殺手。就是它們制造了上述種種惡行。它們來勢洶洶，阻塞網(wǎng)絡(luò)、感染主機，讓網(wǎng)絡(luò)管理員苦不堪言。當網(wǎng)絡(luò)病毒出現(xiàn)時，如何才能及時發(fā)現(xiàn)染毒主機？下面我根據(jù)網(wǎng)絡(luò)病毒都有掃描網(wǎng)絡(luò)地址的特點，給大家介紹一個很實用的方法：用抓包工具尋找病毒源。 1．安裝抓包工具。目的就是用它分析網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容。找一個免費的或者試用版的抓包工具并不難。我使用了一種叫做SpyNet3.12 的抓包工具，非常小巧, 運行的速度也很快。安裝完畢后我們就有了一臺抓包主機。你可以通過SpyNet設(shè)置抓包的類型，比如是要捕獲IP包還是ARP包，還可以根據(jù)目的地址的不同，設(shè)置更詳細的過濾參數(shù)。 2．配置網(wǎng)絡(luò)路由。你的路由器有缺省網(wǎng)關(guān)嗎？如果有，指向了哪里？在病毒爆發(fā)的時候把缺省網(wǎng)關(guān)指向另外一臺路由器是很危險的（除非你想搞癱這臺路由器）。在一些企業(yè)網(wǎng)里往往僅指出網(wǎng)內(nèi)地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主機上吧（它不下地獄誰下地獄？當然這臺主機的性能最好是高一點的，否則很容易被病毒沖擊而亡）。這樣可以讓那些病毒主機發(fā)出的絕大部分掃描都自動送上門來?；蛘甙丫W(wǎng)絡(luò)的出口映像到抓包主機上，所有對外訪問的網(wǎng)絡(luò)包都會被分析到。 3．開始抓包。抓包主機已經(jīng)設(shè)置好了，網(wǎng)絡(luò)里的數(shù)據(jù)包也已經(jīng)送過來了，那么我們看看網(wǎng)絡(luò)里傳輸?shù)牡降资切┦裁础４蜷_SpyNet 點擊Capture 你會看到好多的數(shù)據(jù)顯示出來，這些就是被捕獲的數(shù)據(jù)包（如圖）。圖中的主體窗口里顯示了抓包的情況。列出了抓到數(shù)據(jù)包的序號、時間、源目的MAC地址、源目的IP地址、協(xié)議類型、源目的端口號等內(nèi)容。很容易看出IP地址為10.32.20.71的主機在極短的時間內(nèi)向大量的不同主機發(fā)出了訪問請求，并且目的端口都是445。 4.找出染毒主機。從抓包的情況看，主機10.32.20.71值得懷疑。首先我們看一下目的IP地址，這些地址我們網(wǎng)絡(luò)里存在嗎？很可能網(wǎng)絡(luò)里根本就沒有這些網(wǎng)段。其次，正常情況下訪問主機有可能在這么短的時間里發(fā)起這么多的訪問請求嗎？在毫秒級的時間內(nèi)發(fā)出幾十甚至幾百個連接請求，正常嗎？顯然這臺10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協(xié)議，該協(xié)議存在拒絕服務(wù)攻擊的漏洞，連接端口是445，從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統(tǒng)打補丁殺病毒了。既然抓到了病毒包，我們看一下這個數(shù)據(jù)包二進制的解碼內(nèi)容：這些數(shù)據(jù)包的長度都是62個字節(jié)。數(shù)據(jù)包前12個字節(jié)包括了目的MAC和源MAC的地址信息，緊跟著的2字節(jié)指出了數(shù)據(jù)包的類型，0800代表的是IP包格式，0806代表ARP包格式。接著的20個字節(jié)是封裝的IP包頭，包括了源、目的IP地址、IP版本號等信息。剩下的28個字節(jié)封裝的是TCP包頭，包括了源、目的端口，TCP鏈接的狀態(tài)信息等。這就構(gòu)成了一個62字節(jié)的包?？梢钥闯龀诉@些包頭數(shù)據(jù)之外，這個包沒有攜帶其他任何的有效數(shù)據(jù)負荷，所以這是一個TCP要求445端口同步的空包，也就是病毒主機在掃描445端口。一旦染毒主機同步上沒有采取防護措施的主機445端口，便會利用系統(tǒng)漏洞傳播感染。

取得網(wǎng)絡(luò)通訊的數(shù)據(jù)信息

意思是說把發(fā)往和接受網(wǎng)絡(luò)的信息攔截下來，例如你平時登陸網(wǎng)絡(luò)上的郵箱時，其實是向網(wǎng)絡(luò)發(fā)出了一個數(shù)據(jù)包，里面包含了你的用戶名和密碼等信息。抓包可以用抓包軟件：網(wǎng)絡(luò)抓包工具wkiller v1.0 http://www.hunke.com.cn/Soft/hacksoft/Synthesizes/200601/616.html

5，什么是抓包技術(shù)如何利用抓包技術(shù)

網(wǎng)絡(luò)抓包的方法有：原始套接字RAW_SOCK WinPcap: The Windows Packet Capture Library Winsock Service Provider Interface (SPI) Api Hook DDK - Windows Driver Development Kit:Filter-Hook Drivers、Firewall-Hook Drivers , NDIS,TDI。應(yīng)用層 DHCP ?? DNS ?? FTP ?? Gopher ?? HTTP ?? IMAP4 ?? IRC ?? NNTP ?? XMPP ?? POP3 ?? SIP ?? SMTP ?? SNMP ?? SSH ?? TELNET ?? RPC ?? RTP ?? RTCP ?? RTSP ?? TLS/SSL ?? SDP ?? SOAP ?? BGP ?? PPTP ?? L2TP ?? GTP ?? STUN ?? NTP exe程序，比如ie 表示層 MIME, XDR, SSL, TLS (Not a separate layer) ws2_32.dll 會話層 Sockets. Session establishment in TCP. SIP. (Not a separate layer with standardized API.) SPI 傳輸層 TCP ?? UDP ?? DCCP ?? SCTP ?? RSVP TDI（不能截獲ICMP 等協(xié)議的數(shù)據(jù)) 網(wǎng)絡(luò)層 IP (IPv4 ?? IPv6) ?? IGMP ?? ICMP ?? OSPF ?? ISIS ?? IPsec ?? ARP ?? RARP ?? RIP NDIS(可以截獲所有的網(wǎng)絡(luò)數(shù) 據(jù)）鏈路層 802.11 ?? WiFi ?? WiMAX ?? ATM ?? DTM ?? Token Ring ?? Ethernet ?? FDDI ?? Frame Relay ?? GPRS ?? EVDO ?? HSPA ?? HDLC ?? PPP 設(shè)備驅(qū)動物理層 Ethernet physical layer ?? ISDN ?? Modems ?? PLC ?? SONET/SDH ?? G.709 ?? OFDM ??Optical Fiber ?? Coaxial Cable ?? Twisted Pair 網(wǎng)卡現(xiàn)有的各類抓包軟件，例如：IRIS，SNIFFER等都是通過把網(wǎng)卡設(shè)定為混雜模式來實現(xiàn)將流過的所有數(shù)據(jù)包都一一捕獲。如果網(wǎng)絡(luò)是由HUB組成的，則我們可以看到網(wǎng)絡(luò)中發(fā)到任何主機的數(shù)據(jù)。但是如果是由交換機組成的就不同了，由于交換機是基于MAC地址來實現(xiàn)幀的轉(zhuǎn)發(fā)，源與目的主機間的數(shù)據(jù)包是單點投送不會被其他接口接收到，因此必須使用ARP欺騙或者端口鏡像才能在這種網(wǎng)絡(luò)中看到想要偵聽的數(shù)據(jù)。大多數(shù)的抓包程序基于開源的WinPcap的程序抓包,但基于WinPcap的程序在抓包性能上較低，在千兆網(wǎng)速下，最多只能達到500Mbps左右，因此很多專業(yè)的抓包設(shè)備都會用硬件來實現(xiàn)，比如高速采集卡。

網(wǎng)絡(luò)抓包的方法有：原始套接字raw_sock winpcap: the windows packet capture library winsock service provider interface (spi) api hook ddk - windows driver development kit:filter-hook drivers、firewall-hook drivers , ndis,tdi。應(yīng)用層 dhcp ? dns ? ftp ? gopher ? http ? imap4 ? irc ? nntp ? xmpp ? pop3 ? sip ? smtp ? snmp ? ssh ? telnet ? rpc ? rtp ? rtcp ? rtsp ? tls/ssl ? sdp ? soap ? bgp ? pptp ? l2tp ? gtp ? stun ? ntp exe程序，比如ie 表示層 mime, xdr, ssl, tls (not a separate layer) ws2_32.dll 會話層 sockets. session establishment in tcp. sip. (not a separate layer with standardized api.) spi 傳輸層 tcp ? udp ? dccp ? sctp ? rsvp tdi（不能截獲icmp 等協(xié)議的數(shù)據(jù)) 網(wǎng)絡(luò)層 ip (ipv4 ? ipv6) ? igmp ? icmp ? ospf ? isis ? ipsec ? arp ? rarp ? rip ndis(可以截獲所有的網(wǎng)絡(luò)數(shù) 據(jù)）鏈路層 802.11 ? wifi ? wimax ? atm ? dtm ? token ring ? ethernet ? fddi ? frame relay ? gprs ? evdo ? hspa ? hdlc ? ppp 設(shè)備驅(qū)動物理層 ethernet physical layer ? isdn ? modems ? plc ? sonet/sdh ? g.709 ? ofdm ?optical fiber ? coaxial cable ? twisted pair 網(wǎng)卡現(xiàn)有的各類抓包軟件，例如：iris，sniffer等都是通過把網(wǎng)卡設(shè)定為混雜模式來實現(xiàn)將流過的所有數(shù)據(jù)包都一一捕獲。如果網(wǎng)絡(luò)是由hub組成的，則我們可以看到網(wǎng)絡(luò)中發(fā)到任何主機的數(shù)據(jù)。但是如果是由交換機組成的就不同了，由于交換機是基于mac地址來實現(xiàn)幀的轉(zhuǎn)發(fā)，源與目的主機間的數(shù)據(jù)包是單點投送不會被其他接口接收到，因此必須使用arp欺騙或者端口鏡像才能在這種網(wǎng)絡(luò)中看到想要偵聽的數(shù)據(jù)。大多數(shù)的抓包程序基于開源的winpcap的程序抓包,但基于winpcap的程序在抓包性能上較低，在千兆網(wǎng)速下，最多只能達到500mbps左右，因此很多專業(yè)的抓包設(shè)備都會用硬件來實現(xiàn)，比如高速采集卡。

6，如何在 Android 手機上實現(xiàn)抓包

先給手機刷root權(quán)限，執(zhí)行命令：adb root adb remountok后：把tcpdump放到c盤根目錄下：C:\2. 執(zhí)行命令：adb push c:/tcpdump /data/local/tcpdump（這個命令是把tcpdump拷到手機中去）3. adb shell chmod 6755 /data/local/tcpdump是給tcp分配權(quán)限4. adb shell/data/local/tcpdump -p -vv -s 0 -w /sdcard/capture.pcap輸入這個命令就等于啟動了抓包工具5. 要停止抓包就Ctrl+C6. sdcard的capture.pcap復(fù)制出來到電腦上用wireshark打開即可以后每次抓包只要重復(fù)第4、5、6步就可以了。

1. 先給手機刷root權(quán)限，執(zhí)行命令：adb root adb remountok后：把tcpdump放到c盤根目錄下：C:\2. 執(zhí)行命令：adb push c:/tcpdump /data/local/tcpdump（這個命令是把tcpdump拷到手機中去）3. adb shell chmod 6755 /data/local/tcpdump是給tcp分配權(quán)限4. adb shell/data/local/tcpdump -p -vv -s 0 -w /sdcard/capture.pcap輸入這個命令就等于啟動了抓包工具5. 要停止抓包就Ctrl+C6. sdcard的capture.pcap復(fù)制出來到電腦上用wireshark打開即可以后每次抓包只要重復(fù)第4、5、6步就ok了

千鋒扣丁學(xué)堂android開發(fā)為您解答： tcpdump是最快捷方便的抓包方式，還可以加深對網(wǎng)絡(luò)協(xié)議的理解。android下可以通過如下方式抓包： 1 android上啟動tcpdump android設(shè)備可以把tcpdump的可執(zhí)行文件上傳到android設(shè)備上，然后通過mac遠程登錄android設(shè)備運行tcpdump，前提是這臺android設(shè)備必須已經(jīng)root過。步驟如下：下載android版本的tcpdump為android系統(tǒng)編譯的tcpdump版本。通過adb將tcpdump上傳到android設(shè)備通過adb push將tcpdump文件上傳到特定的目錄，這里我們選擇/sdcard/data目錄。在android設(shè)備上運行tcpdump 通過adb shell登陸設(shè)備，并執(zhí)行tcpdump，最后一步執(zhí)行./tcpdump即可。 2. 分析tcpdump輸出經(jīng)過上面的步驟成功運行tcpdump之后，接下來就可以分析輸出的網(wǎng)絡(luò)包內(nèi)容了，ios設(shè)備和android設(shè)備的輸出是一致的。我們先來解析下幾個基本的格式：圖中紅色方框內(nèi)的部分是一個ip包的詳細記錄，類似的紀錄還有好幾條。這里我們著重分析第一條的各部分字段含義。 14:37:41.615018 很簡單，是該包接收到的時間。 17.143.164.37.5223 是發(fā)送方的ip地址及端口號(5223是端口號)。 10.29.44.140.58036 是我android的ip地址及端口號。 flags [p.] 是tcp包header部分的第14個字節(jié)的p位。這個字節(jié)所包含的幾個flag很重要，后面我會單獨詳細講解。這里p位表示接受方需要馬上將包push到應(yīng)用層。 seq 1:54 tcp包的seq號，1是起始值，54結(jié)束值。tcp之所以被認為是流，是因為tcp包所攜帶的每一個字節(jié)都有標號(seq號)。1:54表明總共有54個字節(jié)被接受，其中一個字節(jié)是三次握手階段所使用，所以一共發(fā)送的長度是53字節(jié)。 ack 101 tcp包的ack號，ack 101表明seq號為100的字節(jié)已被確認收到，下一個期望接收的seq號從101開始。 win 255 win表示的是tcp包發(fā)送方，作為接受方還可以接受的字節(jié)數(shù)。這里win 255表明ip為17.143.164.37的主機還可以接受255個字節(jié)。 options [nop,nop,…] options[…]表示的是該tcp包的options區(qū)域，nop是no opertion的縮寫，沒什么實際用途，主要是用做padding，因為options區(qū)域按協(xié)議規(guī)定必須是4字節(jié)的倍數(shù)。 options[… ts val 2381386761] ts val這個值是tcp包的時間戳，不過這個時間戳和設(shè)備的系統(tǒng)時間沒啥關(guān)系，剛開始是隨機值，后面隨著系統(tǒng)時鐘自增長。這個時間戳主要用處是seq序列號越界從0重新開始后，可以確認包的順序。 options[… ecr 427050796] ts ecr這個值主要用來計算rtt。比如a發(fā)送一個tcp包給b，a會在包里帶上ts val，b收到之后在ack包里再把這個值原樣返回，a收到b的ack包之后再根據(jù)本地時鐘就可以計算出rtt了。這個值只在ack包里有效，非ack包ecr的值就為0. length 53 這個length是應(yīng)用層傳過來的數(shù)據(jù)大小，不包括tcp的header。這個值和我們上面分析的seq 1:54是一致的。以上就是一個基本的tcp包結(jié)構(gòu)，大家可以按照上面的分析再把其他幾個包理解下。我們在做應(yīng)用的時候面對的更多是http協(xié)議，但對一個http請求是怎么通過tcp/ip分解成一個個的packet，然后怎么在網(wǎng)絡(luò)上穩(wěn)定可靠的傳輸，要有個基本的印象。下面我們再看下tcpdump更多的功能，這些功能都是基于對tcp/ip協(xié)議的理解，遇到不理解的建議多google下相關(guān)的技術(shù)概念。 3. tcpdump知識拓展再繼續(xù)深入tcpdump之前，先貼上一張tcp header格式圖，?？闯Ｐ?。 [https://github.com/music4kid/music4kid.github.io/blob/master/images/tcpheader.png?raw=true](https://github.com/music4kid/music4kid.github.io/blob/master/images/tcpheader.png?raw=true)" width="1056"> 3.1 tcp flags(tcp header第十四個字節(jié)) 我們再仔細看下上面提到的flags概念，flags位于tcp header的第十四個字節(jié)，包含8個比特位，也就是上圖的cwr到fin。這8個比特位都有特定的功能用途，分別是：cwr，ece，urg，ack，psh，rst，syn，fin。 cwr ，ece 兩個flag是用來配合做congestion control的，一般情況下和應(yīng)用層關(guān)系不大。發(fā)送方的包ece(ecn-echo)為0的時候表示出現(xiàn)了congestion，接收方回的包里cwr(congestion window reduced)為1表明收到congestion信息并做了處理。我們重點看其他六個flag。 urg urg代表urgent，表明包的優(yōu)先級高，需要優(yōu)先傳送對方并處理。像我們平時使用terminal的時候經(jīng)常ctrl+c來結(jié)束某個任務(wù)，這種命令產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包就需要urgent。 ack 也就是我們所熟悉的ack包，用來告訴對方上一個數(shù)據(jù)包已經(jīng)成功收到。不過一般不會為了ack單獨發(fā)送一個包，都是在下一個要發(fā)送的packet里設(shè)置ack位，這屬于tcp的優(yōu)化機制，參見delayed ack。 psh push我們上面解釋過，接收方接收到p位的flag包需要馬上將包交給應(yīng)用層處理，一般我們在http request的最后一個包里都能看到p位被設(shè)置。 rst reset位，表明packet的發(fā)送方馬上就要斷開當前連接了。在http請求結(jié)束的時候一般可以看到一個數(shù)據(jù)包設(shè)置了rst位。 syn syn位在發(fā)送建立連接請求的時候會設(shè)置，我們所熟悉的tcp三次握手就是syn和ack位的配合：syn->syn+ack->ack。 fin finish位設(shè)置了就表示發(fā)送方?jīng)]有更多的數(shù)據(jù)要發(fā)送了，之后就要單向關(guān)閉連接了，接收方一般會回一個ack包。接收方再同理發(fā)送一個fin就可以雙向關(guān)閉連接了。這8個flag首字母分別是：c e u a p r s f。初看難以記憶，我腦洞了下，把它們組合成 supr cafe，當然少了super少了個e，我可以將就下。我們在使用tcpdump的時候會經(jīng)?？吹竭@幾個flag，[s],[p],[r],[f],[.]。其他幾個都好理解，[.]特殊點，是個占位符，沒有其他flag被設(shè)置的時候就顯示這個占位符，一般表示ack。 3.2 tcpdump 更多使用參數(shù) 這部分我們來看下tcpdump常用的一些命令參數(shù)。文章最開始部分的tcpdump命令是這樣的：sudo tcpdump -i rvi0 -aal。 -i rvi0 -aal都是屬于參數(shù)部分。常見的有這些： -i, 要監(jiān)聽的網(wǎng)卡名稱，-i rvi0監(jiān)聽虛擬網(wǎng)卡。不設(shè)置的時候默認監(jiān)聽所有網(wǎng)卡流量。 -a, 用ascii碼展示所截取的流量，一般用于網(wǎng)頁或者app里http請求。-aa可以獲取更多的信息。 -x，用ascii碼和hex來展示包的內(nèi)容，和上面的-a比較像。-xx可以展示更多的信息(比如link layer的header)。 -n，不解析hostname,tcpdump會優(yōu)先暫時主機的名字。-nn則不展示主機名和端口名(比如443端口會被展示成https)。 -s，截取的包字節(jié)長度，默認情況下tcpdump會展示96字節(jié)的長度，要獲取完整的長度可以用-s0或者-s1600。 -c，只截取指定數(shù)目的包，然后退出。 -v，展示更多的有用信息，還可以用-vv -vvv增加信息的展示量。 src，指明ip包的發(fā)送方地址。 dst，指明ip包的接收方地址。 port，指明tcp包發(fā)送方或者接收方的端口號。 and,or,not,操作法，字面意思。上面幾個是我個人比較常用的，更多的參數(shù)可以參考這個詳細文檔。有興趣的可以分析下面幾個例子練習下： tcpdump tcp[13] & 16!=0 tcpdump src port 80 and tcp tcpdump -vv src baidu and not dst port 23 tcpdump -nnvvs src 192.0.1.100 and dst port 443 4. 用tcpdump分析http完整請求說了這么多，我們再來實戰(zhàn)下，看一個完整的http請求流程。sudo tcpdump -i rvi0 -aal src 60.28.215.123 or dst 60.28.215.123 列出了6個前面的packet，10.29.44.240是我android的ip地址，60.28.215.123是知乎server的ip地址，紅色方框內(nèi)是android發(fā)出的packet，白色方框內(nèi)是server發(fā)出的packet。packet1是android三次握手的第一個syn包，packet2是server ack+syn的包，packet3是android ack的包。這3個packet之后tcp的三次握手就完成了。 packet4是android發(fā)出的http request。長度只有240個字節(jié)，所以一個packet就發(fā)過去了，當然還設(shè)置了flags的p位，request需要馬上被應(yīng)用層處理。包里面出現(xiàn)了spdy，點贊。 packet5是server ack剛收到的包，長度位0，所以這僅僅是一個ack包。 packet6是server返回http的response了，1388個字節(jié)。packet5和packet6都ack了seq為241的包，當然是為了增加ack的成功率。中間還有好幾個packet就不仔細分析了，最后再看下請求完成的最后幾個包：最后兩個packet比較簡單，android發(fā)送個fin+ack的包就斷開連接了，server直接發(fā)送了一個rst包后也斷開連接了。