tcpdump 参数相关
-i:指定监听的网络接口
tcpdump -i eth0 表明监听eth0网络接口的包
tcpdump -i any 表明监听所有网络接口的包
-A: 以ASCII格式打印出所有分组,并将链路层的头最小化。
-c: 收到指定包的数目后,tcpdump会停止
监听通过端口5150的所有tcp包
tcpdump -i any tcp port 5150
红色表明数据的流动
192.168.1.11.49608(客户端)> 192.168.1.198.talarian-tcp(服务器) 数据由客户端发给服务器
1.192.168.1.11向192.168.1.198发送一个syn消息,seq=x
2.192.168.1.198回复192.168.1.11一个syn+ack消息,ack=x+1
3.192.168.1.11向192.168.1.198回复ack
蓝色
1.客户端发送长度为108的数据给服务器。
2.服务器回复一个ack确认已收到数据
flag意义
- [S] 表示这是一个SYN请求
- [S.] 表示这是一个SYN+ACK确认包:
- [.] 表示这是一个ACK确认包, (client)SYN->(server)SYN->(client)ACT 就是3次握手过程
- [P] 表示这个是一个数据推送,可以是从服务器端向客户端推送,也可以从客户端向服务器端推
- [F] 表示这是一个FIN包,是关闭连接操作,client/server都有可能发起
- [R] 表示这是一个RST包,与F包作用相同,但RST表示连接关闭时,仍然有数据未被处理。可以理解为是强制切断连接
- win xxx是指滑动窗口大小
- length xxx指数据包的大小
这个就是tcp可靠的连接,每次通信都需要对方来确认。
tcpdump -i eth0 -vnn dst 192.168.1.11 and src port 5101
抓取目标ip是 192.168.1.11 来源端口是5101的消息包
tcpdump -i eth0 tcp -vnn dst 192.168.1.11 and ! port 1205
抓取目标ip是 192.168.1.11 且目标端口不是1205的消息包
tcpdump参数相关
转载
http://blog.csdn.net/chencheng126/article/details/44260799
http://blog.csdn.net/runboying/article/details/7166378
6372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
