前言:
如今各位老铁们对“ubuntuicmp”都比较讲究,朋友们都想要剖析一些“ubuntuicmp”的相关资讯。那么小编在网摘上网罗了一些有关“ubuntuicmp””的相关内容,希望各位老铁们能喜欢,姐妹们一起来学习一下吧!摘要网络显形准备实战TCP三次握手问题网络显形准备
tcpdump命令
选项
示例
描述
-i
tcpdump -i eth0
指定网络接口,any表示所有接口
-nn
tcpdump -nn
不解析IP地址和端口号的名称
-c
tcpdump -c 5
限制要抓取的网络包的个数
-w
tcpdump -w file.pcap
将抓取的包保存到文件中
tcpdump -nn过滤
选项
示例
描述
host、src host、dst host
tcpdump -nn host 192.168.1.100
主机过滤
port、src port、dst port
tcpdump -nn port 80
端口过滤
ip、ip6、arp、tcp、udp、icmp
tcpdump -nn tcp
协议过滤
and、or、not
tcpdump -nn host 192.168.1.100 and port 80
逻辑表达式
tcp[tcpflags]
tcpdump -nn "tcp[tcpflags] & tcp-syn != 0"
特定状态的TCP包
服务器环境准备
使用docker拉起两台容器,容器分别为:
ubuntu client:用来当做客户端nginx server:用来当做Server
# 拉取Ubuntu Clientdocker run --privileged --name ubuntu_client -itd ubuntu# 拉取Nginx Serverdocker run --privileged --name nginx -d nginx# 查看容器信息docker inspect ubuntu_clientdocker inspect nginx
容器名称 IP
ubuntu_client 172.17.0.3
nginx 172.17.0.2
在Nginx Server端抓取来自ubuntu client的ICMP包
在ubuntu_client容器中执行以下命令
# 进入容器docker exec -it ubuntu_client /bin/bash# Ping Nginx Serverping 172.17.0.2Nginx容器中执行以下命令
# 进入容器docker exec -it nginx /bin/bash# 执行抓包命令 tcpdump -i eth0 -nn icmp and host 172.17.0.3
在Nginx Server上执行抓包命令以后可以看到以下输出:
上述表述的信息还是比较少的,我们在linux服务器上抓取的包一般会保存为pcap文件,然后导出到本地利用WireShark工具进行分析。
# 执行抓包并写入文件tcpdump -i eth0 -nn icmp and host 172.17.0.3 -w icmp.pcap# 在宿主机上执行,将容器内文件拷贝到本地 docker cp nginx:imcp.pcap ~/Downloads/
使用WireShark可以看出每一层的详细信息,如下图:
实战TCP三次握手问题
TCP三次握手流程我们已经详细讲述过,但现实往往不是圆满的,总会有这样那样的问题,在TCP握手的过程中每一个环节都有可能出现问题:
TCP的第一次握手SYN包丢失TCP的第二次握手SYN+ACK包丢失TCP的第三次握手ACK包丢失
当然,TCP可以保证丢包重传,但是重传几次,经过多长时间重传、重传次数可不可以设置之前我们也没有太过说明,今天我们通过抓包来看一下上述问题。
TCP的第一次握手SYN包丢失
这里我们在Nginx Server上对防火墙进行一些修改,如下:
# 拒绝所有来自ubuntu_client的数据包iptables -I INPUT -s 172.17.0.3 -j DROP
在ubuntu_client执行以下命令,如下:
# 执行抓包并写入文件tcpdump -i eth0 -nn tcp and host 172.17.0.2 and port 80 -w http.pcap# 另开一个窗口,执行curl请求nginxdate;curl ;date
从上图中可以看出,在经过两分多钟以后,curl返回了超时错误。
再通过我们对抓的包进行分析:
客户端一共进行了6次重传每次RTO的时间是不一样的,每次RTO几乎是翻倍上涨。
Linux第一次握手的重传次数由谁决定?
cat /proc/sys/net/ipv4/tcp_syn_retries
由内核参数tcp_syn_retries决定,从上图可以看出,我们这里的默认值是6。
读者可以将上述参数改为2,然后你会发现很快就会超时。
通过以上可以得出关于第一次握手的结论:
客户端在RTO时间内没有收到就会重传SYN包每次重传RTO的时间翻倍增长重传的最大次数由内核参数tcp_syn_retries指定
TCP的第二次握手SYN+ACK包丢失
在服务器上还原我们上边添加的拒绝规则,保证服务端可以正常的接收到客户端的数据。
# 删除 INPUT的第一条规则iptables -D INPUT 1
在客户端上配置防火墙规则,拒绝掉Nginx Server的包,如下:
# 拒绝来自Nginx Server的所有数据包iptables -I INPUT -s 172.17.0.2 -j DROP# 执行抓包并写入文件tcpdump -i eth0 -nn tcp and host 172.17.0.2 and port 80 -w http.pcap# 另开一个窗口,执行curl请求nginxdate;curl ;date
从上图可以看出,SYN+ACK包的丢失会引起以下操作:
客户端未收到SYN+ACK包,超时重传SYN包服务端未收到SYN+ACK包的ACK包,也会超时重传SYN+ACK包
为什么我们设置了防火墙依旧可以在客户端抓取包?
这个主要取决于iptables的限制条件:
如果添加的是INPUT规则,可以抓取包如果添加的是OUTPUT规则,则无法抓包
原因是:
网络包进入主机后的顺序为:Wire -> NIC -> tcpdump -> netfilter/iptables网络包从主机出去的顺序为:iptables -> tcpdump -> NIC -> Wire
二次握手的包最大重传次数由谁决定?
该最大重传次数由内核参数tcp_synack_retries决定。
# 默认值是5cat /proc/sys/net/ipv4/tcp_synack_retries
下面我们分别对客户端和服务端做如下修改,:
# 在Nginx Server上执行该命令将重传次数修改为2echo 2 > /proc/sys/net/ipv4/tcp_synack_retries# 在Ubuntu Client上执行该命令将SYN重传次数修改为1echo 1 > /proc/sys/net/ipv4/tcp_syn_retries
通过上图可以看出,客户端的SYN包只重传了1次,服务端的SYN+ACK超时重传了2次。
TCP第三次握手ACK丢包
在开启实验前,大家记得还原一下客户端和服务端的iptables,然后在服务端对iptables做以下修改:
# 屏蔽ubuntu客户端TCP报文中的标志位ACK的数据包iptables -I INPUT -s 172.17.0.3 -p tcp --tcp-flag ACK ACK -j DROP
在客户端执行以下命令进行抓包:
tcpdump -i eth0 -nn tcp and host 172.17.0.2 and port 80 -w telnet.pcap# 然后另开启一个窗口,执行telnet指令telnet 172.17.0.2 80
在客户端和服务端执行以下命令查看TCP连接建立情况:
netstat -lantp
通过上图可以看出,客户端这边的TCP连接建立完成,TCP连接状态处于ESTABLISHED。但服务端由于收不到第三次握手的ACK包,因此一直处于SYN_RECV状态,如下图:
但是Nginx Server端的连接会在一定时间后消失。
我们过一段时间后在telnet窗口再输入123456字符,然后再抓一会包,如下图所示:
从上图中可以看出,由于NginxServer上的tcp_synack_retries参数被设置为2次,上图中我们可以看出SYN+ACK包超时重传了2次,2次以后不再重传,此时服务端的TCP连接就主动中止了,所以处于SYN_RECV状态的连接就消失了。
由于客户端的连接还没中断,我们输入123456发送给服务端,但是服务端已经断开连接,客户端的数据一直在不停的重传(PUSH+ACK报文),那么客户端建立连接后重传的最大次数是由啥控制呢?
由内核参数tcp_retries2控制。
# 执行以下命令,可以看出默认值是15cat /proc/sys/net/ipv4/tcp_retries2
当你将客户端的tcp_retries2参数修改为2以后,当你再次输入123456字符,你会发现很快telnet客户端就断开,如下图:
假设客户端一直不发送数据,那么连接什么时候断开?
此时需要借助TCP的保活机制,关于保活机制我们已经讲过了,可以私信我获取原文,不清楚的可以再回顾一下。
标签: #ubuntuicmp