先指个路,如果这是第一次看到这个挥手,可以先去看一下我之前写的 TCP 三次握手
鸽了很长时间的 TCP 四次挥手,主要是难找的规范的四次挥手(其实是忘了),我之前的WP博客上,在半分钟后,就会三次挥手,那一次挥手在后面的众多的 ACK 中找不到了。
后来在看 WebShell 的时候,利用 WireShark 进行流量监控的时候,发现他的过程真的非常的规范。
比方说我在蚁剑里面输入个 whoami
这就是向目的服务器的基本过程
首先我们先掏出经典永流传的四次挥手的图片
然后我们结合第一张图的部分
这次就不拿老长的原生数(太长了)来对比了,用相对的来对比,也就是右侧的 Seq 和 Ack
我们可以看见肉鸡向攻击机(对于 WebShell 来说服务端即客户端吧)第一次挥手的时候, Seq = 272,Ack = 7913
然后攻击机向肉鸡发送了确定请求,此时 Ack = Seq+1=273 ,Seq = 7913(第一次挥手的 Ack 的值)
接着攻击机又向肉鸡发送了 FIN 请求,此时传送的 Ack 和 Seq 是没有变化的。
过了一会,我们就收到了来自肉鸡的确认,Seq 变为了第 3 发送的 Ack,而 Ack 变为了第三次发送的 Seq 的值加1,即 7914 .
在这里我又想到了一个问题
在三次挥手和四次挥手的时候,突然失联了会发送什么事呢?
有没有复现的可能性?
然后我看了眼四次挥手的间隔,害,连1秒都不到,这个过程一共也就10毫秒 。看来只能找找相关的技术文咯。(除非我变成闪电侠)