使用tcpdump分析TCP的三次握手和四次挥手

最新推荐文章于 2023-05-09 10:17:46 发布
VIP文章 最新推荐文章于 2023-05-09 10:17:46 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 每天积累一点点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CommanderZero/article/details/109012129
版权

使用tcpdump分析TCP的三次握手和四次挥手

自我感觉网络基础太薄弱了,最近打算恶补一下,先从TCP的建立连接和断开连接开始吧。

理论知识

从课本上我们都学过TCP建立连接的三次握手和断开连接的四次挥手,网络上相关的介绍博客也很多,推荐一个博客计算机之间是如何进行通信的?;详解三次握手和四次挥手,介绍得非常透彻易懂,感谢作者。

建立TCP server和client

使用python写了两个脚本:server.py和client.py,分别使用python socket实现TCP的server端和client端,脚本非常简单,直接照搬Python 网络编程| 菜鸟教程

server.py

import socket
import sys
import time

if __name__ == '__main__':
    port = int(sys.argv[1])

    s = socket.socket()
    host = socket.gethostname()
    print host
    s.bind((host, port))

    s.listen(5)
    while True:
        c, address = s.accept()
        print 'client address:', address
        print '\n'
        print c.recv(1024)
        c.send('reply')
        time.sleep(1)
        c.close()

client.py

import socket
import sys

if __name__ == "__main__":
    port = int(sys.argv[1])

    s = socket.socket()
    host = socket.gethostname()
    s.connect((host, port))
    s.send('query')
    print s.recv(1024)
    s.close()

抓包工具

我是在Linux测试,使用的是tcpdump,命名行

$ tcpdump -S tcp -i lo port {port}
  • tcp表示抓取TCP协议报文
  • -i lo是抓取localhost的报文,如果不用-i lo,默认无法抓取本地环回地址(127.0.0.1)的报文。lo是ifconfig命令返回的本地环回地址网卡标记。
  • port 抓取固定端口上的报文

抓包步骤

  1. 在第一个terminal中运行tcpdump -S tcp -i lo port {port}。
  2. 在第二个terminal中运行python server.py {port}
  3. 在第三个terminal中运行python clie
最低0.47元/天 解锁文章
CommanderZero
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1-1:网络初识之了解什么是协议以及TCP/IP协议
快乐江湖的博客
05-08 1126
文章目录一:网络的出现二:认识协议 一:网络的出现 学习系统的时候我们知道,一台计算机上的两个进程想要实现通信有很多种方式,如管道,共享内存等。而两台以上的计算机之间想要通信,那就必须要借助网络。 独立模式 起初,计算机是被设计为了一个独立的设备,每个计算机相互独立,需要传输数据时可借助外部设备间接传送 网络连接 随着社会的发展,人们对于数据的传输需求变得更高。因此,设计者将一个个计算机连接在一起,形成一个计算机网络 局域网和广域网 计算机网络按其规模可以分为,局域网和广域网,局域网和广域网概念都是相对
ss(8) command
Dablelv 的博客专栏。
12-02 1019
ss(Socket Statistics)另一个用于研究套接字的实用程序。ss 命令用来显示处于活动状态的套接字信息。ss 命令可以用来获取 socket 统计信息,它可以显示和 netstat 类似的内容。但ss的优势在于它能够显示更多更详细的有关 TCP 和连接状态的信息,而且比 netstat 更快速更高效。当服务器的 socket 连接数量变得非常大时,无论是使用 netstat 命令还是直接,执行速度都会很慢。
实战tcpdump看RST
热门推荐
后台开发
09-30 1万+
RST为重置报文段,它会导致TCP连接的快速拆迁,且不需要ack进行确认。 1.针对不存在的端口的连请求 客户端: #include #include #include #include #include #include #include #include #include #include #include #include #include #include
一个Linux下的TCP服务1
c_cppcoder的博客
08-31 407
有几点设置: 1, 设置了端口重复使用 2, 设置了FD阻塞 3, 每一个TCP请求都会开启一个线程去读FD 4, 每个FD都设置了5秒的超时时间, 如果5秒还没有数据, 则回收相关资源退出 代码如下: #include <sys/types.h> #include <sys/socket.h> #include <netinet/in.h> #include <sys/time.h> #include <errno.h&
日更第16天:Linux常用命令之netstat用法
你好洋一
12-10 2093
避免退学
监控与性能分析系列:1)netstat、ss对比使用
码农崛起
08-11 1256
https://blog.csdn.net/hustsselbj/article/details/47438781 从下面这个图来看,netstat和ss都是网络相关的监控,netstat在协议栈中每一层都可以做监控统计:TCP、路由表、网络接口、协议等,但是在Linux中,netstat已经不为推荐,取而代之的是ss。   1)netstat参数和使用 常用参数-anplt -a ...
linux 服务器 检查是否被攻击 常用命令
whatday的专栏
07-26 2383
centos/RHELLinux查看Secure和audit日志。8.使用top或htop命令查看进程对CPU/内存的消耗情况。5.使用netstat命令查看本机各端口连接情况。7.使用ps命令查看当前系统中正在运行的进程信息。1.使用last命令查看登录服务器的用户记录。关键字”Acceptedpassword“2.使用who命令查看当前登录的用户。关键字”type=USER_AUTH“6.使用lsof命令查看打开的文件。12.使用nmap命令查看打开的端口。3.查看命令执行记录。...
TCP三次握手详解-深入浅出
Dream It Possible
03-29 3978
1. 准备 TCP是属于网络分层中的运输层(有的书也翻译为传输层),因为OSI分为7层,感觉太麻烦了,所以分为四层就好了,简单。 分层以及每层的协议,TCP是属于运输层(有的书也翻译为传输层),如下两张图: TCP三次握手会涉及到状态转换所以这里贴出TCP的状态转换图如下: 2.TCP三次握手简述 要想简单了解TCP三次握手,我们首先要了解TCP头部结构,如下: TCP传递给IP层的信息单位称为报文段或段,下面都用段做单位。 TCP三次握手如图: 2.1 第一次握手...
一文彻底搞懂 TCP三次握手、四次挥手过程及原理
Hello
05-09 2402
当Server端也发送了FIN报文段时,这个时候就表示Server端也没有数据要发送了,就会告诉Client端,我也没有数据要发送了,之后彼此就会愉快的中断这次TCP连接。由于TCP连接是全双工的,因此,每个方向都必须要单独进行关闭,这一原则是当一方完成数据发送任务后,发送一个FIN来终止这一方向的连接,收到一个FIN只是意味着这一方向上没有数据流动了,即不会再收到数据了,但是在这个TCP连接上仍然能够发送数据,直到这一方向也发送了FIN。在TCP/IP协议中,TCP协议提供可靠的连接服务,连接是通过。
传输层:TCP 协议
Icarus_的学习笔记
10-01 425
传输层:TCP 协议 一、概述 TCP 和 UDP 处在同一层——运输层,但是它们有很多的不同。TCPTCP/IP 系列协议中最复杂的部分,它具有以下特点: (1) TCP 提供 可靠的 数据传输服务,TCP 是 面向连接的 。应用程序在使用 TCP 通信之前,先要建立连接,这是一个类似“打电话”的过程,通信结束后还要“挂电话”。 (2) TCP 连接是 点对点 的,一条...
wireshark tcp三次握手
08-03
ubuntu下自己写tcp协议(server.c,client.c,Makefile),通过tcpdump生成 .cap文件后,利用wireshark分析tcp三次握手的整个过程
TCPAnalyser:使用tcpdump分析TCP数据包,组织输出
03-19
TCP分析使用tcpdump分析TCP数据包,组织输出
在Linux中使用tcpdump命令捕获与分析数据包详解
01-20
我们可以使用 tcpdump 命令捕获实时 TCP/IP 数据包,这些数据包也可以保存到文件中。之后这些捕获的数据包可以通过 tcpdump 命令进行分析tcpdump 命令在网络层面进行故障排除时变得非常方便。 tcpdump 在大多数 ...
38怎么使用tcpdump和Wireshark分析网络流量1
08-03
最新一手资源更新通知加微信资料整理不易 仅供个人学习 请勿倒卖此时,可以借助 nslookup 或者 dig 的调试功能,分析 DNS 的解析过程,再配合 pi
Android中使用tcpdump、wireshark进行抓包并分析技术介绍
09-03
主要介绍了Android中使用tcpdump、wireshark进行抓包并分析技术介绍,本文讲解了下载并安装tcpdump、pc上安装wireshark等内容,需要的朋友可以参考下
TCP三次握手和四次挥手
weixin_51259834的博客
10-14 948
一. TCP概述 通过TCP/IP协议的学习,我们可以了解到--TCP是一种面向连接的、可靠的、基于字节流的通信协议,数据在传输前要建立连接(三次握手),传输完毕后要断开连接(四次握手)。 二. TCP三次握手 TCP头部结构:  1 序号:Seq序号(32位),用来标识从计算机A发送到计算机B的数据包的序号,计算机发送数据时对此进行标记。 2 确认号:Ack确认号(32位),Ack = Seq + 1。 3 标志位:每个标志位占用1Bit,分为 URG、ACK、PSH、RST、SYN、FIN,具体含义
tcpdump来看3次握手4次挥手tcp连接过程以及解析
leaf_cold的博客
03-08 1463
ser 端代码cli端代码命令 tcpdump -i  lo -nnA 'port=6000' 这个的意思是监听6000号端口 记得加上lo 不能是ech0网卡 这个是回环地址由于是本机回环 使用IP都是一样的 端口号不同用 netstat -pan|grep cli 也可以19:36:06.190761 IP 192.168.243.128.37147 &gt; 192.168.243.128....
(四)深入浅出TCPIP之TCP三次握手和四次挥手(下)的抓包分析
网易搬砖选手
10-30 881
目录 1. 通过netstat来分析服务器和客户端的TCP状态 2.通过tcpdump抓包分析服务器和客户端的TCP状态 2.1 语法 2.2 抓包返回格式 2.3 抓包的FLags标记 2.4 分析三次握手,数据收发,四次挥手的状态 2.4.1三次握手 2.4.2数据发送 2.4.3 四次挥手 我们在第二章和第三章讲了三次握手和四次挥手,那么这一章节我将带领读者来通过tcpdump工具来抓包分析这两个过程。 按照我第一章文章里初识TCP,理解TCP报文格式和交互流程(一)提供的客户.
linux环境下使用netstat命令查看网络信息
AlbertS Home of Technology
11-23 3851
`netstat` 这个命令一直以为是 net status 的缩写,今天一查发现并没有找到官方的这种说法,然后参考了 man 手册,发现这个词更像是 net statistics 的缩写,命令的作用是显示网络连接、路由表、接口连接、无效连接和多播成员关系的...
tcp三次握手抓包分析
最新发布
07-29
首先,我们来解释一下TCP三次握手的过程: 1. 客户端向服务器发送一个SYN(同步)包,其中包含一个随机生成的初始序号(ISN)2. 服务器收到SYN包后,会回复一个SYN+ACK(同步+确认)包,其中确认号是客户端发送的ISN加1,并且服务器也会生成一个自己的随机序列号。 3. 客户端再次回复一个ACK(确认)包,其中确认号是服务器发送的ISN加1。 这样,TCP连接就建立起来了。现在我们来分析一下抓包数据。 在抓包工具中,你可以使用Wireshark或者tcpdump来捕获网络数据包。当你开始抓包后,你会看到大量的数据包被捕获和显示。 对于TCP三次握手的抓包分析,你需要过滤出与目标IP地址和端口相关的数据包。使用过滤器表达式"tcp.dstport == 目标端口 && ip.dst == 目标IP地址"可以帮助你过滤出特定的数据包。 在抓包的结果中,你应该能够看到三个关键的数据包: 1. SYN包:这是客户端发送的第一个数据包,源IP地址是客户端的IP地址,目标IP地址是服务器的IP地址,源端口是随机生成的,目标端口是服务器监听的端口。 2. SYN+ACK包:这是服务器作为对SYN包的回复发送的数据包,源IP地址是服务器的IP地址,目标IP地址是客户端的IP地址,源端口是服务器监听的端口,目标端口是客户端发送SYN包时的源端口。 3. ACK包:这是客户端作为对SYN+ACK包的回复发送的数据包,源IP地址是客户端的IP地址,目标IP地址是服务器的IP地址,源端口是客户端发送SYN+ACK包时的源端口,目标端口是服务器监听的端口。 通过分析这些数据包的源、目标IP地址、端口号以及序列号和确认号等信息,你可以看到TCP三次握手过程中的交互步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值