实战 - 抓包 TCP KeepAlive 探测报文(附代码示例)

原创 已于 2025-07-15 15:19:16 修改 · 485 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #tcp #tcpdump #wireshark #c语言 #linux

于 2025-07-11 11:39:26 首次发布

文章目录

一、操作流程

  1. 启动服务端
  2. sudo tcpdump -i any -s 0 -w keepalive.dat 'tcp and host 192.168.5.28 and port 55535'
  3. 启动客户端
  4. 停掉 tcpdump 进程
  5. 用 Wireshark 解析 keepalive.dat
    在这里插入图片描述

二、代码示例

/* tcp_server.c */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <arpa/inet.h>

typedef struct sockaddr sockaddr;
typedef struct sockaddr_in sockaddr_in;

#define IP          "192.168.5.28"
#define PORT        55535
#define BUFFER_SIZE 1024

int main()
{
   
   
  int         sockfd, client_socket;
  sockaddr_in server_addr, client_addr;
  socklen_t   client_addr_len = sizeof(client_addr);
  char        buffer[BUFFER_SIZE];
  int         recv_len, send_len;
  char        client_ip[INET_ADDRSTRLEN];
  int         client_port;

  /* 创建 TCP 套接字 */
  if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
  {
   
   
    perror("socket failed");
    exit(EXIT_FAILURE);
  }

  /* 设置服务器地址结构 */
  memset(&server_addr, 0, sizeof(server_addr));
  server_addr.sin_family = AF_INET;
  server_addr.sin_port = htons(PORT);
  /* 将 IPv4 地址从文本格式转换为网络字节序的二进制格式 */
  if (inet_pton(AF_INET, IP, &server_addr.sin_addr) <=
最低0.47元/天 解锁文章
HTTP keep-alive和TCP keepalive的区别,你了解吗?
Linux高级开发的博客
03-21 1444
1、从文中找出我的IP 2、http请求中是客服端还是服务端主动关闭的tcp连接? 请阅读到最后的彩蛋部分 HTTP和TCP都是老生常谈的知识点,本文不进行铺开赘述。我们可能在HTTP和TCP中都听说“长连接”的说法,也听过HTTP中有keep-alive,TCP中有keepalive。那么,HTTP和TCP的长连接有何区别?HTTP中的keep-alive和TCPkeepalive又有什么区别? Tips:HTTP中是keep-alive,TCP中是keepalive,HTTP中是带中划线的。.
TCP 实战抓包分析
smart_an的专栏
05-20 1156
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!为了让大家更容易「看得见」 TCP,我搭建不少测试环境,并且数据包抓很多次,花费了不少时间,才抓到比较容易分析的数据包。接下来丢包、乱序、超时重传、快速重传、选择性确认、流量控制等等 TCP 的特性,都能「一览无余」。没错,我把 TCP 的"衣服扒光"了,就为了给大家看的清楚,嘻嘻。
实战 - 进程(客户端)被 kill 掉的情况下如何断开 TCP 连接?(代码示例)
最新发布
chirrupy_hamal的博客
06-24 825
实战 - 进程(客户端)被 kill 掉的情况下如何断开 TCP 连接?(代码示例)
TCP保活
yalisiyi1的专栏
05-18 1414
TCP保活的缘起        双方建立交互的连接,但是并不是一直存在数据交互,有些连接会在数据交互完毕后,主动释放连接,而有些不会,那么在长时间无数据交互的时间段内,交互双方都有可能出现掉电、死机、异常重启等各种意外,当这些意外发生之后,这些TCP连接并未来得及正常释放,那么,连接的另一方并不知道对端的情况,它会一直维护这个连接,长时间的积累会导致非常多的半打开连接,造成端系统资源的消耗和
TCP 四次挥手,可以变成三次挥手吗?
小林coding
08-27 5785
当被动关闭方在 TCP 挥手过程中,如果「没有数据要发送」,同时「没有开启 TCP_QUICKACK(默认情况就是没有开启,没有开启 TCP_QUICKACK,等于就是在使用 TCP 延迟确认机制)」,那么第二和第三次挥手就会合并传输,这样就出现了三次挥手。所以,出现三次挥手现象,是因为 TCP 延迟确认机制导致的。完!......
美团二面:TCP 四次挥手,可以变成三次吗?
知识分享官
08-27 386
上周有位读者面试时,被问到:TCP 四次挥手中,能不能把第二次的 ACK 报文, 放到第三次 FIN 报文一起发送?虽然我们在学习 TCP 挥手时,学到的是需要四次来完成 TCP 挥手,但是在一些情况下, TCP 四次挥手是可以变成 TCP 三次挥手的。而且在用 wireshark 工具抓包的时候,我们也会常看到 TCP 挥手过程是三次,而不是四次,如下图:先来回答为什么 RFC 文档里定义 TCP 挥手过程是要四次?再来回答什么情况下,什么情况会出现三次挥手?为什么 TCP 挥手需要四次? TCP 四次挥
计算机网络-TCP的运输连接管理(三次握手,四次挥手)补充一下为什么不能将四次挥手改为三次挥手
m0_47298312的博客
03-20 4343
hello,朋友们。今天咱们分享一下TCP连接建立与释放问题(三次握手与四次挥手问题) 1.简单介绍 基础知识了解(仅代表个人简单理解) SYN 同步(一个信号 代表自己的状态) FIN 终止(一个信号 代表自己的状态) seq 报文段序号 ACK 确认(一个信号 代表自己的状态) ack 确认号(我想要的 我所接收到的报文段...
Wireshare抓包分析TCP协议
qq_35337506的博客
03-11 4958
Wireshare抓包分析TCP协议
linux tcp保活时长,TCP keepalive 保活机制
weixin_29065659的博客
05-15 1149
编写TCP服务程序的时候,一般都需要空闲检测。当对端以非优雅的方式断开连接(掉线、崩溃或者强行结束进程)的时候,可以通过空闲检测释放本端的连接和资源。一般来说需要在程序自身在业务逻辑层实现TCP连接的空闲检测,或者叫做超时、心跳检测。定时去发送自定义格式的探测报文,如果连续几次对端未响应则认为对端已经断开。其实,操作系统底层TCP协议栈已经提供了 keepalive 检测功能,是我这种懒人码农的福...
TCP 核心问题 之 Keep-Alive
dying 搁浅
04-30 7866
这时候可能就有人要问了:“啊(尖声)!那你,前面的 keep-alive 包是怎么回事?是谁配置的?谁的配置在生效?”
TCP keepAlive详解(TCP心跳包)
冷月醉雪的博客
05-13 2825
查看更多 https://www.yuque.com/docs/share/670c2ddd-b4a4-4d72-a8c4-5e2f809b5c27
TCP和http的keepalive
宁静致远
07-12 2085
最近工作中遇到一个问题,想把它记录下来,场景是这样的:     从上图可以看出,用户通过Client访问的是LVS的VIP, VIP后端挂载的RealServer是Nginx服务器。 Client可以是浏览器也可以是一个客户端程序。一般情况下,这种架构不会出现问题,但是如果Client端把请求发送给Nginx,Nginx的后端需要一段时间才能返回结果,超过1分30秒就会有
TCP保活功能KEEPALIVE
weixin_33736832的博客
07-28 356
2019独角兽企业重金招聘Python工程师标准>>> ...
TCP keepalive机制
weixin_42226134的博客
02-18 1173
首先,我想说的是,SO_Keeplive是实现在服务器侧,客户端被动响应,缺省超时时间为120分钟,这是RFC协议标准规范。SO_Keeplive是实现在TCP协议栈(四层),应用层的心跳实现在第七层,本质没有任何区别,但应用层需要自己来定义心跳包格式。之所以实现在服务器侧,是因为与客户端相比,服务器侧的寿命更长,因为服务器侧需要不间断地提供服务,而客户端可能由于用户下班而合上电脑(TCP没有来得...
渗透&&探测 (TCP探测篇)
weixin_34343000的博客
09-27 1974
TCP原理   互联网由一整套协议构成。TCP 只是其中的一层,有着自己的分工。   来来来,我们先复习一下TCP/IP五层结构,详细请参考笔者之前分享的网络原理篇 以太网协议(Ethernet) 位于数据链路层,规定了电子信号如何组成数据包(packet),解决了 子网内部的 点对点 通信。 但是,以太网协议不能解决多个局域网如何互通,这由 IP 协议解决。 IP协议 IP 协议位于...
TCPKeepAlive 与HTTP的 Keep-Alive
ylz_yg的博客
08-13 1658
KeepAlive既熟悉又陌生,踩过坑的同学都知道痛。一线运维工程师踩坑之后对于KeepAlive的总结,你不应该错过! 最近工作中遇到一个问题,想把它记录下来,场景是这样的: 从上图可以看出,用户通过Client访问的是LVS的VIP, VIP后端挂载的RealServer是Nginx服务器。 Client可以是浏览器也可以是一个客户端程序。一般情况下,这种架构不会出现问题,但是如果Client端把请求发送给Nginx,Nginx的后端需要一段时间才能返回结果,超过1分30秒就会有问题,使用L
TCP keepalive机制分析
dillanzhou的博客
07-29 1629
TCP keepalive是由TCP协议栈提供的连接存活性检测功能。如果打开这个功能特性,如果一条已建立的TCP连接一段时间没有收到报文,就会开始发送TCP keepalive报文,如果keepalive报文多次没有获得响应,则判定连接的对端已经断开,本地协议栈会将连接关闭。 TCP keepalive一般用于服务器软件中,目的是避免客户端异常断开连接造成服务端大量无效连接残留,消耗过多资源。 ...
TCP协议特点及报文格式详解
ling_zu_qi的博客
05-21 1904
TCP协议特点及报文格式详解
tcpKeepAlive与http的Keep-Alive以及Nginx的TCP KeepAlive
奔跑的菜鸡
11-13 723
为什么要有KeepAlive 在谈KeepAlive之前,我们先来了解下简单TCP知识(知识很简单,高手直接忽略)。首先要明确的是在TCP层是没有“请求”一说的,经常听到在TCP层发送一个请求,这种说法是错误的。TCP是一种通信的方式,“请求”一词是事务上的概念,HTTP协议是一种事务协议,如果说发送一个HTTP请求,这种说法就没有问题。也经常听到面试官反馈有些面试运维的同学,基本的TCP三次握手的概念不清楚,面试官问TCP是如何建立链接,面试者上来就说,假如我是客户端我发送一个请求给服务端,服务端发送一个
如果抓包中发现大量 ACK 报文但没有 PSH 标志,可能是什么原因?
05-16
好的,我现在需要分析用户的问题:在抓包中发现大量ACK报文但没有PSH标志的可能原因。用户之前询问了第三次握手为何不携带数据,现在转向TCP协议行为中的ACK和PSH标志。首先,我需要回顾TCP的基础知识,特别是ACK和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值