wireshark抓包tcp为何没有四次挥手 而是三次挥手

最新推荐文章于 2024-06-25 04:50:10 发布
最新推荐文章于 2024-06-25 04:50:10 发布
阅读量5.2k 收藏 14
点赞数 4
分类专栏: Linux 网络 文章标签: vscode ubuntu linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yichuan_Sun/article/details/121524432
版权

在wireshark上抓包,使用telnet直接连接baidu的ip,端口使用www,

p4@u1804:~$ ping www.baidu.com
PING www.a.shifen.com (183.232.231.174) 56(84) bytes of data.
64 bytes from 183.232.231.174 (183.232.231.174): icmp_seq=1 ttl=128 time=37.8 ms
64 bytes from 183.232.231.174 (183.232.231.174): icmp_seq=2 ttl=128 time=82.9 ms
^C
--- www.a.shifen.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 37.866/60.400/82.935/22.535 ms

ip是183.232.231.174,telnet连接一下,输入了个字符串“what???”

p4@u1804:~$ telnet 183.232.231.172 www
Trying 183.232.231.172...
Connected to 183.232.231.172.
Escape character is '^]'.
what???
HTTP/1.1 400 Bad Request

Connection closed by foreign host.

wireshark抓包记录如下

image-20211124193630929

可以看到三次握手(3,4,5)很正常,但是四次挥手却少了一次ack,成了三次挥手(13,14,15)。

上网查资料,发现有一种说法是,像《wireshark网络分析的艺术》P12-P21里说,由于延迟确认(也就是确认报文由下一个发送报文携带,一起传送过来),第二次挥手ack与第三次挥手fin合并成了一次,也就是包14。

** Seq是当前发送报文的第一个字节的序列号。Ack是确认号,期望收到对方下一个报文的第一个字节的序列号(可以理解为请求对方发送的第一个字节的序列号)。 ** Win是发送窗口的大小,单位字节。大写ACK和小写Ack不是同一个概念。

SYN和ACK、FIN、PSH都是标志位,SYN表示连接建立和连接接受请求,ACK只有为1时确认号Ack才有效,而且规定在连接建立以后所有传送的报文段ACK都要置为1。FIN指释放连接标志位,表示要释放一个连接。PSH是推送标志位,当两个进程通信时,有时一端想键入命令后立即收到对方的响应,就会把这一位置为1,接收方收到PSH=1的报文,会尽快地交付接收进程,而不再等整个缓存都填满了后再向上交付。

下面详细说一下三次握手和四次挥手的过程。用点分十进制的最后一个数字代表其IP地址。数字表示包的序列号,在抓包截图的第一列。Seq和Ack的功能是简述,不全述。

第一次握手,3。213 -> 172,发送SYN=1的tcp报文,Seq=0。请求建立连接,发送213的0号字节。

第二次握手,4。172 -> 213,发送SYN=1,ACK=1的tcp报文,Seq=0,Ack=1。对连接请求进行回复,同意建立连接,发送172的0号字节,请求213的1号字节。

第三次握手,5。213 -> 172,发送ACK=1的tcp报文,Seq=1,Ack=1。请求发送端通知接收端连接建立成功,发送213的1号字节,请求172的1号字节。

9,10,11,12,我输入what???的发送过程,以及172对我的应答,包11显示这是个bad request。http报文的解析如下。显示当前Sequence number是1,Acknowledgement number是10,意为当前发送包首字节序列号是10,请求213发送首字节序列号是10的包。在包12中213做了回复。

image-20211124201040952

第一次挥手,13。172 -> 213,发送FIN=1,PSH=1,ACK=1的tcp报文,Ack=29。172想关闭tcp连接,发送172的29号字节,请求213的10号字节。

第二次挥手,14。213 -> 172,发送FIN=1,ACK=1的tcp报文,Seq=29,Ack=10。213同意172关闭,同时自己也请求关闭,发送213的10号字节,请求172的30号字节。

第三次挥手,15。172 -> 213,发送ACK=1的tcp报文,Seq=30,Ack=11。172同意213关闭,发送172的30号字节,请求213的11号字节。

三次挥手之后,等待2MSL(Maximum Segment Lifetime 最长报文段寿命),如果没有回应,才会关闭tcp连接。这一部分详见课本计算机网络第七版P241。

yiichan
关注
专栏目录
wireshark抓包分析tcp三次握手四次挥手
06-25
使用wireshark抓包分析,并且将特殊字段进行分析。
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
TCP四次挥手是关闭TCP连接的过程,具体步骤如下: 1. **第一次挥手**:客户端向服务器发送一个FIN报文段,表示客户端已经没有数据需要发送了。 2. **第二次挥手**:服务器接收到FIN报文段后,会发送一个ACK报文段...
滴滴工程师图文并茂带你深入理解 TCP 握手分手全过程
codehole_的博客
12-30 178
本文作者:饶全成,中科院计算所硕士,滴滴出行后端研发工程师。个人主页:https://zhihu.com/people/raoquancheng记得刚毕业找工作面试的时候...
Wireshark抓包分析IP协议_捕捉并分析ip数据包(1)
2401_84254343的博客
06-25 801
作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「专栏简介」:此文章已录入专栏试验目的:抓包分析IP协议的传输过程和数据分片操作系统:Windows 10 企业版抓包工具:Wireshark 3.6.3。
wireshark不到四次挥手_图解TCP三次握手与四次分手
weixin_39714113的博客
11-24 756
TCP三次握手和四次挥手不管是在开发还是面试中都是一个非常重要的知识点,它是我们优化web程序性能的基础。但是大部分教材都对这部分解释的比较抽象,本文我们就利用wireshark抓包以真正体会整个流程的细节。三次握手根据下面这幅图我们来看一下TCP三次握手。p.s: 每个箭头代表一次握手。第一次握手client发送一个SYN(J)包给server,然后等待server的ACK回复,进入SYN-S...
TCP三次握手(建立连接)和四次挥手(关闭连接)
Lee的博客
03-03 1011
参照: http://course.ccniit.com/CSTD/Linux/reference/files/018.PDF http://hi.baidu.com/raycomer/item/944d23d9b502d13be3108f61   建立连接:  理解:窗口和滑动窗口 TCP的流量控制 TCP使用窗口机制进行流量控制 什么是窗口? 连接
wireshark不到四次挥手_网络工程师(9):TCP的“挥手”与UDP
weixin_40002224的博客
11-24 539
TCP是面向连接的,传输数据前要通过“三次握手”建立连接,传输完成后也要拆除连接,就像我们打完电话要挂断一样。TCP通过“四次挥手”拆除连接。假设电脑A发送数据给电脑B,电脑A已将全部数据发送完毕,则“四次挥手”过程为:第一次挥手,电脑A发送拆除连接请求(FIN=1);第二次挥手,电脑B收到请求后,需要做个收尾,比如缓冲区中还有数据没有处理完。为避免对端超时,发送ACK=1对电脑A的请求进行确认,...
Wireshark抓包分析TCP三次握手,四次挥手”.doc
07-08
(2)为什么我们抓包到的不是“四次挥手”,而是“三次挥手”呢?这里涉及到 LInuxTCP 时延机制,当被挥手端(这里是 12672 端口)第一次收到挥手端(这里是 443 端口)的“FIN”请求时,并不会立即发送 ACK,...
wireshark抓包图解TCP三次握手四次挥手详解
最新发布
07-30
wireshark抓包图解TCP三次握手四次挥手详解
6-第六次实验-wireshark抓包图解TCP三次握手四次挥手详解.docx
03-03
"TCP/IP 协议族详解 wireshark 抓包图解 TCP 三次握手四次挥手详解" TCP/IP 协议族是指由 TCP 和 IP 两个主要协议组成的协议簇,负责管理计算机之间的通信。该协议族分为四个层次:链路层、网络层、运输层和应用层...
【概念实验】用Java的nio实例来研究一下tcp握手和挥手的过程
qq_18244417的博客
10-17 188
我还记得对于 tcp 三次握手和四次挥手的概念和主要过程还是大一时计算机网络课上学过,但是一直没有实际分析过。今天周末,闲来无事,决定来研究一下 tcp 握手和挥手的过程。实践环境物理机...
wireshark抓包分析四次挥手,却只能三次,有没有办法到四次?
wanglei_11的博客
06-15 1717
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一次握手 SYN 包,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据包,每次超时重传的 RTO 是翻倍上涨的,直到 SYN 包的重传次数到达 tcp_syn_retries 值后,客户端不再发送 SYN 包。在 Wireshark 的页面里,可以更加直观的分析数据包,不仅展示各个网络包的头部信息,还会用不同的颜色来区分不同的协议,由于这次抓包只有 ICMP 协议,所以只有紫色的条目。
Linux Socket tcpdump/wireshark 只能捕获三次挥手
清风笑
08-15 745
由于监听本地回环,速度太快, 导致服务器收到FIN以后, 调用close的时候, 清除了socket缓存里ACK应答,.所以导致现在出现的情况 解决方法:     只要服务器收到FIN后,休眠一点时间再调用close,那么就能通过tcpdump/wireshark看到完整的四次挥手消息. /*********************************************
Wireshark抓包分析TCP,发现居然只有三次挥手
snail-jie的博客
12-09 4667
背景 本人一直不喜欢背八股文,喜欢源码调式和测试,相信自己看到的,所以一直苦于怎样去学习网络协议。昨天看了一篇文章《简单的 HTTP 调用,为什么时延这么大?》,里面有用到Wireshark抓包工具分析了耗时原因。趋于好奇心,网上了解一下Wireshark怎样使用,发现一篇好文《(图文并茂,权威最详细)Wireshark抓包分析 TCP三次握手/四次挥手详解》,自己动手安装分析一波 搭建环境 下载Wireshark:https://www.wireshark.org/#download(版本为3.6.0)
tcp断开连接,4次握手,为什么wireshark 只能到3个包?
weixin_34185512的博客
11-11 1679
wireshark 抓包,看看tcp 断开连接的过程.  以前书上说tcp断开连接,4次握手,可我为什么wireshark 只能到3个包?   百度一下,别人也有类似的疑问。 【求助】书上和网上的资料说,TCP拆除连接需要四次握手。但是本人多次用wireshark抓包,都只能截到三个包 在网上搜索了很久都没有找到满意的解释。由于本人要填写实验报告,结果这样子就没法填了。 按照理论,TCP断...
Wireshark抓包分析TCP三次握手
永远在奔跑的学习者
11-26 4938
Wireshark抓包分析TCP三次握手 (1)TCP三次握手连接建立过程 Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手; Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手; Step3:服务端发送一个SYN=0,ACK=1的数...
使用Wireshark抓包三次握手四次挥手
xcm2480416851的博客
10-11 5378
服务端说:“好,但我还有要传送的数据(不断给客户端发送数据,此时客户端已经不能向服务端发送数据了,只能接受服务端发送给客户端的数据)”数据传输后,通信的双方都可以释放连接,客户端向服务端发送释放连接请求,并停止再发送数据,等待对方确认。服务端向客户端发送fin报文,表示释放连接,用来关闭服务端向客户端的数据传送。客户端收到服务端请求释放连接报文,发送确认收到信息,完成四次挥手。客户端收到报文段后,向服务器给出确认,通知上层应用连接已建立。服务器收到请求报文段,标志位ACK=1,表示同意,发回确认。
tcp四次挥手的到3个包的原因分析
Grimm的博客
03-06 3831
理论上来说,tcp四次挥手过程是这样的 但是在今天真机抓包的时候发现了实际四次握手的第二次和第三次貌似是合并在一起了,并没有分成两次来发送(seq和ack的值是没问题的) 如图:整个通信过程的最后3个包为四次挥手的过程 ...
四次挥手
u012223598的专栏
05-13 784
由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。 (1)客户端A发送一个FIN,用来关闭客户A到服务器B的数据传送(报文4)。 (2)服务器B收到这个FIN,
wireshark抓包tcp三次握手四次挥手
11-16
Wireshark是一款网络数据抓包工具,可以用来捕获和分析网络数据。在进行TCP连接时,通常需要进行三次握手和四次挥手来建立和终止连接。使用Wireshark抓包可以帮助我们观察和分析这些过程。 在进行TCP连接时,客户端首先向服务器发送SYN包,表示请求建立连接。服务器接收到SYN包后,会回复一个SYN+ACK包,表示接受连接请求并确认客户端的SYN包。最后,客户端再发送一个ACK包,表示确认服务器的SYN+ACK包。这样就完成了三次握手,建立了TCP连接。在Wireshark中可以看到这三个包的交互过程,以及各个包的详细信息和标志位。 在终止TCP连接时,需要进行四次挥手。首先,一方发送一个FIN包,表示要断开连接。另一方收到FIN包后,会发送一个ACK包作为确认。然后它也会发送一个FIN包给对方,表示同意断开连接。最后,另一方也发送一个ACK包作为确认。在Wireshark中可以观察到这四个包的交互过程,以及连接的逐步关闭过程。 通过Wireshark抓包分析TCP三次握手和四次挥手的过程,可以更深入地理解网络连接的建立和断开过程,有助于排查网络连接问题和优化网络性能。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值