四种拦截方式

引言

我们先做一个小测试，新建一个b.jsp:

<body>
	<h1>b.jsp</h1>
</body>

再新建一个a.jsp，在里面转发到b.jsp：

<body>
	<h1>a.jsp</h1>
	<%
		request.getRequestDispatcher("/b.jsp").forward(request, response);
	%>
</body>

然后我们配置一个过滤器，指定过滤的资源为b.jsp:

public class MyFilter implements Filter {
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		System.out.println("MyFilter...");
		chain.doFilter(request, response);
	}
}

xml:

<filter>
	<display-name>MyFilter</display-name>
	<filter-name>MyFilter</filter-name>
	<filter-class>com.veeja.web.filter.MyFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>MyFilter</filter-name>
	<url-pattern>/b.jsp</url-pattern>
</filter-mapping>

然后我们在浏览器中直接访问b.jsp，显然的是，过滤器是会执行的：

但是，如果我们访问a.jsp呢，我们是知道的，a.jsp会转发到b.jsp，这样过滤器会执行吗？我们试一试：

结果我们发现，这个时候过滤器却没有执行。这是为什么呢？

这是因为，在默认情况下，只能直接访问目标资源才会执行过滤器，而forward执行目标资源，就不会执行过滤器。

四种拦截

其实过滤器有四种拦截方式！分别是：REQUEST、FORWARD、INCLUDE、ERROR。

• REQUEST：直接访问目标资源时执行过滤器。包括：在地址栏中直接访问、表单提交、超链接、重定向，只要在地址栏中可以看到目标资源的路径，就是REQUEST；
• FORWARD：转发访问执行过滤器。包括RequestDispatcher#forward()方法、<jsp:forward>标签都是转发访问；
• INCLUDE：包含访问执行过滤器。包括RequestDispatcher#include()方法、<jsp:include>标签都是包含访问；
• ERROR：当目标资源在web.xml中配置为<error-page>中时，并且真的出现了异常，转发到目标资源时，会执行过滤器。

可以在<filter-mapping>中添加0~n个<dispatcher>子元素，来说明当前访问的拦截方式。

接下来我们举几个例子，说明一下应用的实际情况：

①

<filter-mapping>
	<filter-name>myfilter</filter-name>
	<url-pattern>/b.jsp</url-pattern>
	<dispatcher>REQUEST</dispatcher>
	<dispatcher>FORWARD</dispatcher>
</filter-mapping>

这个配置中，b.jsp为目标资源。
当直接请求b.jsp时，会执行过滤器。
当转发到b.jsp页面时，会执行过滤器。

②

<filter-mapping>
	<filter-name>myfilter</filter-name>
	<url-pattern>/b.jsp</url-pattern>
</filter-mapping>

这里没有给出拦截方式时，那么默认为REQUEST。这也能解释我们在引言中的例子了。

③

<filter-mapping>
	<filter-name>myfilter</filter-name>
	<url-pattern>/b.jsp</url-pattern>
	<dispatcher>FORWARD</dispatcher>
</filter-mapping>

这一个配置中，当转发到b.jsp页面时，会执行过滤器。而且因为已经给出了<dispatcher>FORWARD</dispatcher>了，那么就没有默认的REQUEST了。所以只有在转发到b.jsp时才会执行过滤，而直接访问到b.jsp时，不会执行过滤器。

接下来，我们再举一个ERROR拦截的例子：

<filter-mapping>
	<filter-name>myfilter</filter-name>
	<url-pattern>/b.jsp</url-pattern>
	<dispatcher>ERROR</dispatcher>
</filter-mapping>
<error-page>
	<error-code>500</error-code>
	<location>/b.jsp</location>
</error-page>

上面里例子中，拦截的方式为ERROR，而且把b.jsp设置为HTTPS 500的错误页面。

我们写一个jsp，为a.jsp：

<body>
	<h1>a.jsp</h1>
	<%
		if(true)
			throw new RuntimeException("hahhaahahaha~");
	%>
</body>

这个时候，当用户访问a.jsp页面时会抛出异常，也就是500错误。
这时服务器会转发到b.jsp，而在这之前会执行上面配置的过滤器。

其实最为常用的就是REQUEST和FORWARD两种拦截方式，而INCLUDE和ERROR都比较少用。大家多做练习，就能熟练掌握了。

以上就是全部内容，谢谢你的阅读。

如有纰漏，请不吝指出，不胜感激。

如果你不沉下心来认真练习，所有的阅读都是白费的。

1.命令格式

tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名]
[ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ]

2.选项介绍

使用案例

参数 -l

-l选项的作用就是将tcpdump的输出变为“行缓冲”方式，这样可以确保tcpdump遇到的内容一旦是换行符即将缓冲的内容输出到标准输出，以便于利用管道或重定向方式来进行后续处理。

Linux/UNIX的标准I/O提供了全缓冲、行缓冲和无缓冲三种缓冲方式。
标准错误是不带缓冲的，终端设备常为行缓冲，而其他情况默认都是全缓冲的。
例如我们只想提取包的每一行的第一个域(时间域)，这种情况下我们就需要-l将默认的全缓冲变为行缓冲了。
tcpdump -i eth0 port 1111 -l | awk ‘{print $1}’

参数–w -r

-w 直接将包写入文件中(即原始包，如果使用 重定向 > 则只是保存显示的结果，而不是原始文件)，即所谓的“流量保存”—就是把抓到的网络包能存储到磁盘上保存下来，为后续使用。参数-r 达到“流量回放”—就是把历史上的某一时间段的流量，重新模拟回放出来，用于流量分析。

通过-w选项将流量都存储在cp.pcap(二进制格式)文件中了.可以通过 –r 读取raw packets文件 cp.pcap.
如：sudo tcpdump i- eth0 ‘port 1111’ -c 3 -r cp.pcap 即可进行流量回放。

3.常用过滤表达式

tcpdump支持传入单个或多个过滤表达式，可以通过命令man pcap-filter 来参考过滤表达式的帮助文档
过滤表达式大体可以分成三种过滤条件，“类型”、“方向”、“协议”、逻辑运算和其他关键字，这五种条件的搭配组合就构成了我们的过滤表达式

3.1 “类型”关键字

关于类型的关键字，主要包括host，net，port
例如:
host 210.45.114.211，指定主机 210.45.114.211
net 210.11.0.0 指明210.11.0.0是一个网络地址
port 21 指明端口号是21。如果没有指定类型，缺省的类型是host

3.2 “方向”关键字

关于传输方向的关键字，主要包括src，dst，dst or src，dst and src
举例:
src 210.45.114.211 ,指明ip包中源地址是210.45.114.211
dst net 210.11.0.0 指明目的网络地址是210.11.0.0
如果没有指明方向关键字，则缺省是src or dst关键字。

3.3 “协议”关键字

关于协议的关键字，主要包括 ether，ip，ip6，arp，rarp，tcp，udp等类型。
如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

3.4 逻辑运算

tcpdump还支持三种逻辑运算：

3.5 其他关键字

tcpdump还在其他几种关键字：gateway、broadcast、less、greater

3.6 使用案例

可以利用这些关键字进行组合，从而组合为比较强大的过滤条件。下面举例说明

(1)只想查目标机器端口是21或80的网络包，其他端口的我不关注：
sudo tcpdump -i eth0 -c 10 ‘dst port 21 or dst port 80’

(2) 想要截获主机172.16.0.11 和主机210.45.123.249或 210.45.123.248的通信，使用命令(注意括号的使用)：
sudo tcpdump -i eth0 -c 3 ‘host 172.16.0.11 and (210.45.123.249 or210.45.123.248)’

(3)想获取使用ftp端口和ftp数据端口的网络包
sudo tcpdump ‘port ftp or ftp-data’
这里 ftp、ftp-data到底对应哪个端口？ linux系统下 /etc/services这个文件里面，就存储着所有知名服务和传输层端口的对应关系。如果你直接把/etc/services里的ftp对应的端口值从21改为了3333，那么tcpdump就会去抓端口含有3333的网络包了。

(4) 如果想要获取主机172.16.0.11除了和主机210.45.123.249之外所有主机通信的ip包，使用命令：
sudo tcpdump ip ‘host 172.16.0.11 and ! 210.45.123.249’

(5) 抓172.16.0.11的80端口和110和25以外的其他端口的包
sudo tcpdump -i eth0 ‘host 172.16.0.11 and! port 80 and ! port 25 and ! port 110’

4.高级包头过滤

首先了解如何从包头过滤信息

proto[x:y] : 过滤从x字节开始的y字节数。比如ip[2:2]过滤出3、4字节（第一字节从0开始排）
proto[x:y] & z = 0 : proto[x:y]和z的与操作为0
proto[x:y] & z !=0 : proto[x:y]和z的与操作不为0
proto[x:y] & z = z : proto[x:y]和z的与操作为z
proto[x:y] = z : proto[x:y]等于z

操作符 : >, <, >=, <=, =, !=

4.1、IP头

本文只针对IPv4。

4.2、IP选项设置了吗？

“一般”的IP头是20字节，但IP头有选项设置，不能直接从偏移21字节处读取数据。IP头有个长度字段可以知道头长度是否大于20字节。
±±±±±±±±+
|Version| IHL |
±±±±±±±±+
通常第一个字节的二进制值是：01000101，分成两个部分： 0100 = 4 表示IP版本 0101 = 5 表示IP头32 bit的块数，5 x 32 bits = 160 bits or 20 bytes
如果第一字节第二部分的值大于5，那么表示头有IP选项。
下面介绍两种过滤方法（第一种方法比较操蛋，可忽略）：
a. 比较第一字节的值是否大于01000101
这可以判断IPv4带IP选项的数据和IPv6的数据。
01000101十进制等于69，计算方法如下（小提示：用计算器更方便）
0 : 0 \ 1 : 2^6 = 64 \ 第一部分 (IP版本)
0 : 0 /
0 : 0 /
0 : 0
1 : 2^2 = 4 \ 第二部分 (头长度)
0 : 0 /
1 : 2^0 = 1 /
64 + 4 + 1 = 69

如果设置了IP选项，那么第一自己是01000110（十进制70），过滤规则：
tcpdump -i eth1 ‘ip[0] > 69’
IPv6的数据也会匹配，看看第二种方法。
b. 位操作

0100 0101 : 第一字节的二进制
0000 1111 : 与操作
<=========
0000 0101 : 结果
正确的过滤方法
tcpdump -i eth1 ‘ip[0] & 15 > 5’
或者tcpdump -i eth1 ‘ip[0] & 0x0f > 5’

4.3、分片标记

当发送端的MTU大于到目的路径链路上的MTU时就会被分片，这段话有点拗口，权威的请参考《TCP/IP详解》。唉，32借我的书没还，只能凑合写，大家记得看书啊。

分片信息在IP头的第七和第八字节：
±±±±±±±±±±±±±±±±+
|Flags| Fragment Offset |
±±±±±±±±±±±±±±±±+
Bit 0: 保留，必须是0
Bit 1: (DF) 0 = 可能分片, 1 = 不分片
Bit 2: (MF) 0 = 最后的分片, 1 = 还有分片
Fragment Offset字段只有在分片的时候才使用。
要抓带DF位标记的不分片的包，第七字节的值应该是：
01000000 = 64
tcpdump -i eth1 ‘ip[6] = 64’

4.4、抓分片包

匹配MF，分片包
tcpdump -i eth1 ‘ip[6] = 32’
最后分片包的开始3位是0，但是有Fragment Offset字段。
匹配分片和最后分片
tcpdump -i eth1 ‘((ip[6:2] > 0) and (not ip[6] = 64))’
测试分片可以用下面的命令：
ping -M want -s 3000 192.168.1.1

4.5、匹配小TTL

TTL字段在第九字节，并且正好是完整的一个字节，TTL最大值是255，二进制为11111111。
可以用下面的命令验证一下：

$ ping -M want -s 3000 -t 256 192.168.1.200
ping: ttl 256 out of range
±±±±±±±±+
| Time to Live |
±±±±±±±±+
在网关可以用下面的命令看看网络中谁在使用traceroute
tcpdump -i eth1 ‘ip[8] < 5’

4.6、抓大于X字节的包

大于600字节
tcpdump -i eth1 ‘ip[2:2] > 600’

4.7、更多的IP过滤

首先还是需要知道TCP基本结构，再次推荐《TCP/IP详解》，卷一就够看的了，避免走火入魔。

TCP头
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Source Port | Destination Port |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Sequence Number |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Acknowledgment Number |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Data | |C|E|U|A|P|R|S|F| |
| Offset| Res. |W|C|R|C|S|S|Y|I| Window |
| | |R|E|G|K|H|T|N|N| |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Checksum | Urgent Pointer |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Options | Padding |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| data |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
抓取源端口大于1024的TCP数据包
tcpdump -i eth1 ‘tcp[0:2] > 1024’
匹配TCP数据包的特殊标记
TCP标记定义在TCP头的第十四个字节

±±±±±±±±+
|C|E|U|A|P|R|S|F|
|W|C|R|C|S|S|Y|I|
|R|E|G|K|H|T|N|N|
±±±±±±±±+
重复一下TCP三次握手，两个主机是如何勾搭的：

源发送SYN
目标回答SYN, ACK
源发送ACK
没女朋友的童鞋要学习一下：

1. MM，你的手有空吗？–
2. 有空，你呢？~~
3. 我也有空 _

失败的loser是酱紫的：

1. MM，这是你掉的板砖吗？(SYN) ￣▽￣
2. 不是，找拍啊？(RST-ACK) ˋ﹏ˊ

只抓SYN包，第十四字节是二进制的00000010，也就是十进制的2
tcpdump -i eth1 ‘tcp[13] = 2’
抓SYN, ACK （00010010 or 18）
tcpdump -i eth1 ‘tcp[13] = 18’
抓SYN或者SYN-ACK
tcpdump -i eth1 ‘tcp[13] & 2 = 2’
用到了位操作，就是不管ACK位是啥。

抓PSH-ACK
tcpdump -i eth1 ‘tcp[13] = 24’
抓所有包含FIN标记的包（FIN通常和ACK一起，表示幽会完了，回见）
tcpdump -i eth1 ‘tcp[13] & 1 = 1’
抓RST（勾搭没成功，伟大的greatwall对她认为有敏感信息的连接发RST包，典型的棒打鸳鸯）
tcpdump -i eth1 ‘tcp[13] & 4 = 4’
下图详细描述了TCP各种状态的标记，方便分析。

tcp_state_machine.jpg

4.8、大叔注

tcpdump考虑了一些数字恐惧症者的需求，提供了部分常用的字段偏移名字：

icmptype (ICMP类型字段)
icmpcode (ICMP符号字段)
tcpflags (TCP标记字段)

ICMP类型值有：
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply

TCP标记值：
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg
这样上面按照TCP标记位抓包的就可以写直观的表达式了：

只抓SYN包
tcpdump -i eth1 ‘tcp[tcpflags] = tcp-syn’
抓SYN, ACK
tcpdump -i eth1 ‘tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0’

4.9、抓SMTP数据

tcpdump -i eth1 ‘((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))’
抓取数据区开始为"MAIL"的包，"MAIL"的十六进制为0x4d41494c。

4.10、抓HTTP GET数据

tcpdump -i eth1 ‘tcp[(tcp[12]>>2):4] = 0x47455420’
"GET "的十六进制是47455420

4.11、抓SSH返回

tcpdump -i eth1 ‘tcp[(tcp[12]>>2):4] = 0x5353482D’
"SSH-"的十六进制是0x5353482D

tcpdump -i eth1 ‘(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)’
抓老版本的SSH返回信息，如"SSH-1.99…"

三、大叔注
如果是为了查看数据内容，建议用tcpdump -s 0 -w filename把数据包都保存下来，然后用wireshark的Follow TCP Stream/Follow UDP Stream来查看整个会话的内容。

-s 0是抓取完整数据包，否则默认只抓68字节。
另外，用tcpflow也可以方便的获取TCP会话内容，支持tcpdump的各种表达式。

3.1、UDP头
0 7 8 15 16 23 24 31
±-------±-------±-------±-------+
| Source | Destination |
| Port | Port |
±-------±-------±-------±-------+
| | |
| Length | Checksum |
±-------±-------±-------±-------+
| |
| DATA … |
±----------------------------------+
抓DNS请求数据
tcpdump -i eth1 udp dst port 53
3.2、其他
-c参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工CTRL+C还是抓的太多，甚至导致服务器宕机，于是可以用-c参数指定抓多少个包。

time tcpdump -nn -i eth0 ‘tcp[tcpflags] = tcp-syn’ -c 10000 > /dev/null
上面的命令计算抓10000个SYN包花费多少时间，可以判断访问量大概是多少。

使用案例

下面介绍一些tcpdump中过滤语句比较高级的用法
想获取172.16.10.11和google.com之间建立TCP三次握手中带有SYN标记位的网络包.

命令为：sudo tcpdump -i eth0 ‘host 172.16.0.11 andhost google.com and tcp[tcpflags]&tcp-syn!=0’ -c 3 -nn

上面的命令是不是看着有点晕的感觉。 是的。
下面详细介相关知识。
其实我们理解这种语法: proto [ expr : size] ，就不难理解上面的语句了。
下面详细介绍proto [ expr : size]
Proto即protocol的缩写，它表示这里要指定的是某种协议名称，如ip,tcp,udp等。总之可以指定的协议有十多种，如链路层协议 ether,fddi,tr,wlan,ppp,slip,link,
网络层协议ip,ip6,arp,rarp,icmp传输层协议tcp,udp等。
expr用来指定数据报字节单位的偏移量，该偏移量相对于指定的协议层，默认的起始位置是0；而size表示从偏移量的位置开始提取多少个字节，可以设置为1、2、4,默认为1字节。如果只设置了expr，而没有设置size，则默认提取1个字节。比如ip[2:2]，就表示提取出第3、4个字节；而ip[0]则表示提取ip协议头的第一个字节。在我们提取了特定内容之后，我们就需要设置我们的过滤条件了，我们可用的“比较操作符”包括：>，<，>=，<=，=，!=，总共有6个。

举例：想截取每个TCP会话的起始和结束报文(SYN 和 FIN 报文), 而且会话方中有一个远程主机.
sudo tcpdump ‘tcp[13] & 3 != 0 and not(src and dst net 172.16.0.0)’ -nn
如果熟悉tcp首部报文格式可以比较容易理解这句话，因为tcp便宜13字节的位置为2位保留位和6位标志位(URG,ACK,PSH,RST,SYN,FIN), 所以与3相与就可以得出SYN,FIN其中是否一个置位1.

从上面可以看到在写过滤表达式时，需要我们对协议格式比较理解才能把表达式写对。这个比较有难度的…。为了让tcpdump工具更人性化一些，有一些常用的偏移量，可以通过一些名称来代替，比如icmptype表示ICMP协议的类型域、icmpcode表示ICMP的code域，tcpflags 则表示TCP协议的标志字段域。更进一步的，对于ICMP的类型域，可以用这些名称具体指代：icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect,icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob,icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq,icmp-maskreply。

而对于TCP协议的标志字段域，则可以细分为tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg。
对于tcpdump 只能通过经常操作来熟练这些语句了。也可以把网络包用tcpdump截获保存到指定文件,然后用wireshark等可视化软件分析网络包。

参考链接

https://blog.csdn.net/hzhsan/article/details/43445787
https://blog.csdn.net/wzx19840423/article/details/50836761