TCP全连接队列
在 Linux 网络中,TCP 全连接队列(也称为 Accept 队列)是一个重要的概念,用于管理已经完成三次握手,即已经处于 established 状态但尚未被应用程序通过 accept( ) 函数处理的 TCP 连接,避免因为应用程序处理不及时而导致连接丢失。
最大长度
全连接队列的最大长度由两个参数决定:
-
backlog:这是在调用 linsten( ) 函数时设置的第二个参数,用于指定全连接队列的最大长度,全连接队列的最大长度 == backlog + 1 。
int listen(int sockfd, int backlog);-
net.core.somaxconn:这是一个系统级参数,定义了全连接队列的最大长度上限。默认值通常是 128,但可以通过修改/proc/sys/net/core/somaxconn文件来调整。
全连接队列的实际最大长度为 min(backlog, net.core.somaxconn)。如果全连接队列已满,新的连接将无法进入队列,可能会被丢弃或导致客户端收到 RST 包。
查看队列状态
可以使用 ss -lnt 命令查看全连接队列的状态,Recv-Q 列表示当前全连接队列的长度,而 Send-Q 列表示全连接队列的最大长度。
tcpdump抓包
tcpdump 是一个功能强大的网络抓包工具,它能够捕获经过网络接口的原始数据包,并根据用户指定的过滤条件进行筛选和分析。
安装 tcpdump
sudo apt-get update
sudo apt-get install tcpdumpsudo yum install tcpdump常见使用
tcpdump 的基本命令格式如下:
tcpdump [选项] [过滤条件]常用选项
-
-i <interface>:指定要监听的网络接口(如eth0、wlan0或lo)。 -
-n:不解析主机名,直接显示 IP 地址。 -
-nn:不解析主机名和端口号。 -
-v:显示更详细的信息。 -
-vv:显示更详细的信息。 -
-vvv:显示最详细的信息。 -
-c <count>:捕获指定数量的数据包后停止。 -
-w <file>:将捕获的数据包保存到指定文件中,而不是直接输出到终端。 -
-r <file>:从指定文件中读取数据包进行分析。 -
-s <size>:设置捕获数据包的大小(默认为 65535 字节)。
常用过滤条件
-
按协议过滤:
-
tcp:捕获 TCP 数据包。 -
udp:捕获 UDP 数据包。 -
icmp:捕获 ICMP 数据包。
-
-
按主机过滤:
-
host <IP>:捕获指定主机的所有数据包。 -
src host <IP>:捕获源地址为指定主机的数据包。 -
dst host <IP>:捕获目标地址为指定主机的数据包。
-
-
按端口过滤:
-
port <port>:捕获指定端口的数据包。 -
src port <port>:捕获源端口为指定端口的数据包。 -
dst port <port>:捕获目标端口为指定端口的数据包。
-
-
按网络过滤:
-
net <网络>:捕获指定网络的数据包。
-
示例 1:捕获指定接口的所有 TCP 数据包
可以使用 ifconfig 查看网络接口
例如捕获 eth0 接口的 TCP 数据包:
tcpdump -i eth0 tcp示例 2:捕获指定源或目的 IP 地址的所有数据包
tcpdump src host 192.168.1.100 and tcptcpdump dst host 192.168.1.200 and tcptcpdump src host 192.168.1.100 and dst host 192.168.1.200 and tcp示例 3:捕获指定端口的数据包
tcpdump port 80 and tcp示例 4:捕获数据包并保存到文件
tcpdump -i eth0 -w capture.pcap示例 5:从文件中读取数据包并分析
tcpdump -r capture.pcap组合用法
tcpdump 支持使用布尔逻辑(and、or、not)组合过滤条件,以实现更复杂的捕获需求。
-
捕获特定主机与特定端口的交互:
tcpdump -i eth0 host 192.168.1.100 and port 80 -
捕获特定主机之间的所有交互:
tcpdump -i eth0 host 192.168.1.100 and host 192.168.1.200 -
排除指定主机的数据包:
tcpdump -i eth0 not host 192.168.1.1
