前言

我们tcpdump抓包时会看到除报文数据外，前面还有一段其他的数据，这段数据分为两部分，ip包头（一般20字节）和tcp包头（一般20字节），一般这两个头长度和为40，我们直接跳过抓取的数据前40字节及为我们需要分析的有效数据。

测试环境为centos7，以下截图使用netcat（yum -y install nc安装）进行测试，服务端192.168.11.19监听9999端口，客户端192.168.17.143。服务端执行nc -l 9999，客户端执行nc 192.168.11.19 9999，直接再终端打字回车键发送。（注：netcat工具发送的tcp包头带有套接字选项，头长度为32字节）

一、以太网帧（64-1518字节，Ethernet II，链路层协议）

1.1 字段分布

• 目标端MAC：6字节
• 源端MAC：6字节
• IP协议类型：2字节（0x0800代表IPv4协议，0x86DD代表IPv6协议）
• 数据：46-1500字节
• CRC校验码：4字节

1.2 示例解析（tcpdump 加上-XX选项可打印帧头的14字节）

1.3 依据帧大小限制的补位和切片

因为Ethernet II协议的最小长度为64，最大长度为1518，抛开帧头和帧尾的18字节，最小传输单元为46，最大传输单元（MTU）值为1500。通常IP包头长20字节，TCP包头也为20字节，则一般的最小报文段长度为6、最大报文段长度（MSS）为1460。以IP包头20字节TCP包头20字节为例，即当我们发送一个空报文是，协议会自动补6字节空数据（如下图），而当我们发送1MB的数据时协议则会将其切片分成1024*1024/1460=719个包逐个发送。

二、IP包头（20-60字节）

2.1 字段分布

• 版本号+头长度+服务类型：2字节（共计8位，前四位代表包头长度，单位为4字节）
• 数据总长：2字节
• 一些信息字段：8字节
• 源端ip：4字节
• 目标端ip：4字节
• 可选项：0-40字节（可变，不足四字节倍数则进行填充）

2.2 示例解析（此处118f对应ip包头结束，后面为tcp包头）

三、 tcp包头（20-60字节，不设置sockopt时就为20字节）

3.1 字段分布

• 源端口号：2字节
• 目标端口号：2字节
• 数据id：4字节
• 确认id：4字节
• 偏移位+保留域+控制位：2字节（共计16位，前四位代表包头长度，单位为4字节）
• 窗口大小：2字节
• 校验码：2字节
• 紧急指针：2字节
• 套接字选项：0-40字节（可变，不足四字节倍数则进行填充，setsockopt时该字段将被赋值）

3.2 示例解析

3.3 常见套接字选项

• TCP_NODELAY：立即发送选项，tcp发送小报文是会根据Nagle算法等待缓存达到最大数据长度（MSS）满后或者超时200ms时才发送，使用该选项后小报文将即可发送不等待。
• SO_REUSEADDR：服务端重启时原来监听的端口会在TIME_WAIT状态导致不能立马监听成功，需要等待TIME_WAIT结束（2MIN）才能冲新监听成功。为保证服务端重启时效性需要设置该选项。
• TCP_MAXSEG：最大数据长度设置，一般以太网帧最大长度为1460，设置此选项可将此长度设小以此提高网络传输效率。

四、tcpdump捕获有效数据

4.1 命令：tcpdump -i ens192 -n -X host 192.168.11.19 and port 9999 -vvv -tttt   （指定一个网卡、ip 和端口号进行转包）  注：此处只使用一个-X选项打印16进制，若使用-XX打印的话还会额外打出以太网帧的一些信息。

4.2 示例（只要读取sequence信息行的length字段，表示有效的数据长度，报文尾部开始读取该长度及为我们抓取的数据）