tcpdump使用时tcp三次握手抓包,ack置1的一些说明

最新推荐文章于 2024-08-18 21:24:04 发布
最新推荐文章于 2024-08-18 21:24:04 发布
阅读量9.6k 收藏 7
点赞数 7
分类专栏: Linux 文章标签: tcp三次握手 tcpdump ack置一 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32503701/article/details/53559759
版权

在使用tcpdump抓包的时候,发现tcp的三次握手,第三次的时候竟然将ack置1了,百思不得其解,难道是现在tcp的协议变了吗,让我困惑不已,直接上结果

[root@www test_cpp]# tcpdump -i any port 53 -nn -v

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
17:09:32.524005 IP (tos 0x0, ttl 64, id 30266, offset 0, flags [DF], proto TCP (6), length 60)
    127.0.0.1.46894 > 127.0.0.1.53: Flags [S], cksum 0x3e3d (correct), seq 3479715283, win 65495, options [mss 65495,sackOK,TS val 20728809 ecr 0,nop,wscale 7], length 0
17:09:32.524066 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    127.0.0.1.53 > 127.0.0.1.46894: Flags [S.], cksum 0x74c2 (correct), seq 729305304, ack 3479715284, win 65483, options [mss 65495,sackOK,TS val 20728809 ecr 20728809,nop,wscale 7], length 0
17:09:32.524100 IP (tos 0x0, ttl 64, id 30267, offset 0, flags [DF], proto TCP (6), length 52)
    127.0.0.1.46894 > 127.0.0.1.53: Flags [.], cksum 0x9b7e (correct), ack 1, win 512, options [nop,nop,TS val 20728809 ecr 20728809], length 0

首先握手先在本地启了一个dns server,用tcpdump抓53端口的包,然后使用dig 命令+tcp进行查询,然后就出现了上面的结果,当然,通过Telnet,也可以重现这个现象。

现象就是三次握手的最后一次,ack 1????

第一次客户端127.0.0.1.46894 发送seq 3479715283,随机生成的

第二次服务器 127.0.0.1.53 发送seq 729305304, ack 3479715284 ,,ack是前一次的seq+1

第三次客户端127.0.0.1.46894发送ack 1,这不科学,按理来说应该是第二次的seq+1。

重复了几次,都是这样的,通过telnet也是一样的,自己开个网页,去访问抓包也是这样的,这怎么办!!

然后将抓包的报文保存下来-w ,在wireshark上打开,是这样的:


只看前三条,是三次握手的过程在这里:

第一次客户端127.0.0.1.46894 发送seq 0,随机生成的

第二次服务器 127.0.0.1.53 发送seq 0, ack 1 ,,ack是前一次的seq+1

第三次客户端127.0.0.1.46894发送seq 1,ack 1, ack是第二次的seq+1。

再看下面的详细解释:

第一条:

看第二条的解释:


第三条:


原来seq,ack,还是用的原来的tcp协议,没有改变,只不过在wireshark中使用了相对量来显示,

第一次seq:30 aa 5d 22 

第二次seq: 8a 5d 87 9b  ack:30 aa 5d 23     ack恰好是上一次的seq➕1

第三次seq:30 aa 5d 23  ack: 8a 5d 87 9b ack恰好是上一次的seq➕1。

那么现在可以知道了,抓包本身确实是没有问题的,那问题就只能是tcpdump自己显示的功能有问题了,

应该是tcpdump,前两次都是用的绝对量,第三次然后使用了个相对量,ack 1,这逻辑也是没谁了!!!!无力吐槽,还以为是tcp协议改了呢。

沉默的崽崽
关注
专栏目录
Linux网络编程之tcpdump抓包分析TCP三次握手过程
落叶追风
08-11 5595
使用TCP协议进行网络通讯,通信的两端首先需要建立起一条连接链路,当然这并不表示使用UDP通信不需要“连接链路”,这里说的连接链路指的是通信协议范畴的东东,并不是物理介质或者电磁波信号,只所以说TCP是面向连接的网络通信协议,主要是指双方在通信都会保持一些连接相关的信息,比如
tcpdump 分析三次握手
qq_36974278的博客
04-06 172
tcpdump -nn -i eth0 port 80 # 把8 IO 重定向到一个连接,只是创建连接 exec 8<> /dev/tcp/www.baidu.com/80 ![每一行都是一个socket,是由四元组组成的](https://img-blog.csdnimg.cn/8fecaa80950844788a6e3b712c543f48.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NE
tcp三次握手ack均是1?
FeeLing
08-18 528
本人做了tcp连接测试,但是结果和网络中其他人的说法有点不一致! 测试使用了命令:tcpdump //s1用网卡ens33抓取端口好为80的网络数据包 tcpdump -nn -i ens33 port 80 //s2访问百度,建立3次连接请求数据 curl www.baidu.com s1抓取到请求数据包如下图: ​结果显示三次握手里面第三次的ack并不是第二次的seq加1,而是1,测试多次均是1,那位大神能解释一下?是我错了还是那些文章有问题 ...
tcpdump抓包
喝醉酒的小白
07-09 310
该数据包长度为0,可能是一个空的SYN请求数据包。这是一个网络数据包的IP层级信息。
Tcpdump 详解(抓包
最新发布
明日之星
08-18 4114
一、TCPDUMP抓包工具介绍。
如何使用tcpdump来捕获TCP SYN,ACK和FIN包
banbanlin的专栏
10-23 3441
问题:我想要监控TCP连接活动(如,建立连接的三次握手,以及断开连接的四次握手)。要完成此事,我只需要捕获TCP控制包,如SYN,ACK或FIN标记相关的包。我怎样使用tcpdump来仅仅捕获TCP SYN,ACK和/或FYN包? 作为业界标准的捕获工具,tcpdump提供了强大而又灵活的包过滤功能。作为tcpdump基础的libpcap包捕获引擎支持标准的包过滤规则,如基于5重包头的过
TCP三次握手、四次挥手详解(Wireshark实践)
Hardworking666的博客
09-10 8125
TCP协议规定,只有ACK=1有效,也规定连接建立后所有发送的报文的ACK必须为1。当SYN=1而ACK=0,表明这是一个连接请求报文。2、然后Server 进行回复确认,即 SYN=1 ,声明自己的序号是 seq=y, 并设ack=x+1,服务器端:SYN-RECEIVED:在收到和发送一个连接请求后等待对方对连接请求的确认。当 FIN = 1 ,表明此报文段的发送方的数据已经发送完毕,并要求释放连接。客户端:SYN-SENT:在发送连接请求后等待匹配的连接请求。) 在连接建立用来同步序号。
python+requests接口测试
weixin_44487337的博客
01-10 1641
第一章 HTTP网络协议 在接口的测试过程中,所有的数据交互都是基于网络协议来进行交互的。目前业内最为主流的是HTTP网络协议。占据有90%左右比例 在系统的交互过程中,HTTP网络协议是如何实现交互的? 目前在计算机的数据交互中最为有效的一种交互形式。 1.1 网络协议下的交互 网络协议下的交互总计4个步骤: 1.基于访问的url进行识别,与服务器进行连接的建立 解析url,识别到服务器的IP地址。基于服务器进行通信与连接。最终建立一条C-S的连接通道。 2.基于C端请求的数据内容,进行一次请求下发。 3
使用tcpdump观察tcp三次握手,四次挥手,以及http的keep-alive机制
cwdben的博客
12-26 1755
测试方法: 服务器使用自己写的,架设在阿里云服务器上。 打开两个终端,分别运行 cwd@cwd:~$ sudo tcpdump dst 116.62.35.197 and tcp cwd@cwd:~$ sudo tcpdump src 116.62.35.197 and tcp 测试一: 使用postman发送有keep-alive标志的get请求一次,观察报文情况。 测试结果: 客户端发向服务器报文: cwd@cwd:~$ sudo tcpdump dst 116.62.35.197 and tcp tc
_04TCP四次握手与抓包分析.zip_TCP捂手分析_抓包 tcp
09-24
标题中的“_04TCP四次握手与抓包分析.zip_TCP捂手分析_抓包 tcp”指的是一个关于TCP协议连接建立(三次握手)和断开(四次挥手)的讲解资料,结合网络抓包工具进行分析。这个压缩包可能包含了一个PPT文件,用于详细...
使用tcpdump分析TCP三次握手和四次挥手
CommanderZero的博客
10-11 1773
使用tcpdump分析TCP三次握手和四次挥手 自我感觉网络基础太薄弱了,最近打算恶补一下,先从TCP的建立连接和断开连接开始吧。 理论知识 从课本上我们都学过TCP建立连接的三次握手和断开连接的四次挥手,网络上相关的介绍博客也很多,推荐一个博客计算机之间是如何进行通信的?;详解三次握手和四次挥手,介绍得非常透彻易懂,感谢作者。 建立TCP server和client 使用python写了两个脚本:server.py和client.py,分别使用python socket实现TCP的server端和cli
TCP三次握手及四次挥手详细图解.docx
05-24
tcpdump 和 Wireshark 是两种常用的抓包工具,tcpdump 是一个命令行界面的抓包工具,而 Wireshark 是一个图形界面的抓包工具。使用 Wireshark 可以轻松地抓取和分析网络报文。 在局域网安全中,以太网是工作在数据...
使用tcpdump监控和解析tcp三次握手四次挥手
DuanYi1998的博客
07-08 830
TCP协议在网络分层模型中处于传输层,许多的应用层协议(例如HTTP,SMTP等)是基于传输层TCP协议工作的,TCP协议提供了面向连接的可靠的传输服务,理解TCP协议的工作原理对于工作和面试是非常有帮助的。 TCP连接三次握手 为了简便,使用nc命令来模拟服务器和客户端来建立连接的三次握手过程。 首先在linux上打开一个终端,键入nc -v -l 127.0.0.1 22222命令,该命令的作用是让该主机监听本机的22222端口,充当服务器功能。 接下来再打开一个终端使用tcpdump...
Linux tcpdump命令详解
weixin_34008784的博客
01-14 1755
  史上最好用的免费SVN空间   简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   实用命令实...
tcp三次握手详解
tanyeqiang的博客
12-30 688
tcp
TCP三次握手四次挥手细节
chen772209的博客
06-10 420
TCP三次握手四次挥手细节 一、简介: 在网络层,可以实现两个主机之间的通信。但是这并不具体,因为,真正进行通信的实体是在主机中的进程,是一个主机中的一个进程与另外一个主机中的一个进程在交换数据。IP协议虽然能把数据报文送到目的主机,但是并没有交付给主机的具体应用进程。而端到端的通信才应该是应用进程之间的通信。 UDP,在传送数据前不需要先建立连接,远地的主机在收到UDP报文后也不需要给出任何确认。虽然UDP不提供可靠交付,但是正是因为这样,省去和很多的开销,使得它的速度比较快,比如一些对实性要求较高的服
【网络安全 | 网络协议】结合Wireshark讲解TCP三次握手
等风来
12-25 4249
由上图可以看到,seq为1,表示客户端期望收到的下一个序列号是1;ack为1代表本机同意接受连接;syn为1并进入set状态,表示确认服务端(baidu.com)的同意(即确认服务器的序列号为0)在建立 TCP 连接,需要进行三次握手,防止因为网络延迟、拥塞等原因导致的数据丢失或错误传输,确保双方都能够正常通信。由上图可以看到,seq为0,表示客户端的初始序列号为0;syn为1并进入set状态,说明本机请求建立连接并等待baidu.com的响应。由上图可以看到,seq为0,表示服务端的初始序列号为0;
TCP报文之-tcp dup acktcp Out-of-Order
热门推荐
chenfengdejuanlian的专栏
12-20 15万+
使用WireShark抓包,选择TCP报文,TCP是一种安全的协议,在网络出现状况也能安全稳定的传输数据,但是在网络出现问题tcp报文中会有很多中情况导致报文重传或者是重组。现在就在报文中遇到的几个问题来详细说明一下。 WireShark出现的常见提示 TCP Out_of_Order的原因分析: 一般来说是网络拥塞,导致顺序包抵达间不同,延太长,或者包丢失,需要重新组合数据单元,因为
详解TCP三次握手
罗罗的1024
04-13 9640
条件 在开始三次握手之前,我们先看看TCP头部结构,如下 了解一下什么是序列号和确认号 Sequence number 表示的是我方(发送方)这边,这个packet的数据部分的第一位应该在整个data stream中所在的位。(注意这里使用的是“应该”。因为对于没有数据的传输,如ACK,虽然它有一个seq,但是这次传输在整个data stream中是不占位的。所以下一个实际有数据的传输,会依旧从上一次发送ACK的数据包的seq开始) Acknowledge number 表示的是期望
tcp三次握手抓包分析
07-29
对于TCP三次握手抓包分析,你需要过滤出与目标IP地址和端口相关的数据包。使用过滤器表达式"tcp.dstport == 目标端口 && ip.dst == 目标IP地址"可以帮助你过滤出特定的数据包。 在抓包的结果中,你应该能够看到三...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值