Анализ трафика

Рассмотрим пример. Сделаем запрос из среды Linux на домашнюю страницу пользователя. Адрес страницы: http://home.onego.ru/~sketcher/test.html. Будем использовать браузер Opera. Запустим tcpdump без параметров.

Получим дамп файл. При его исследовании можно получить много информации:

Всего было получено 24 пакета. Ни один пакет не был отброшен ядром. Используемый интерфейс - eth0 (сетевая карта). В начале каждой строки время получения пакета. Также указывается порт и адрес отправителя и получателя. IP, назначенный мне провайдером: 10.10.63.23. S (в первой записи) означает, что установлен флаг SYN. Он устанавливается для каждого tcp соединения. Если запустить tcpdump c параметром, определяющим более подробные параметры, то будет выводиться, верна ли контрольная сумма tcp: [tcp sum ok]. После флага SYN идут начальный и конечный порядковые номера пакета. В скобках указана нагрузка. Она равна нулю, т. к. при установлении соединения данных передаваться не должно. Размер окна (win) равен 5840 байт. Максимальный размер сегмента (MSS) равен 1460 (для Ethernet MSS равен 1500 за вычетом заголовков TCP и IP). В ответе (тоже с флагом S) установлен флаг ack c номером подтверждения 404107273 и размер окна равный 32120 байт. Потом увеличивается порядковый номер пакета на 1 (ack 1). В следующей записи флаг отсутствует (обозначается "."). И снова увеличивается порядковый номер пакета. Потом начинает происходить передача данных (в первом пакете передаётся 466 байт). В следующей записи происходит запрос на сервер имён. Он используется, в основном, для преобразования IP в имя. Потом происходит передача данных. Закрытие соединения происходит пакетами с флагом F. Так же, как и при открытии, посылаются пакеты с нулевой нагрузкой. Последним приходит пакет с ".", т. е. без флага.