tcpdump 分析 TCP 通信过程

最新推荐文章于 2023-03-05 02:04:04 发布
最新推荐文章于 2023-03-05 02:04:04 发布
阅读量577 收藏
点赞数
分类专栏: Linux Problems 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duyiwuer2009/article/details/51722069
版权

step1: connect(client)

14:26:17.213856 IP 172.25.40.208.49040 > 172.25.40.208.9999: S 2796874307:2796874307(0) win 32767 <mss 16396,sackOK,timestamp 166610063 166607508,nop,wscale 2>
14:26:17.213876 IP 172.25.40.208.9999 > 172.25.40.208.49040: S 2805061524:2805061524(0) ack 2796874308 win 32767 <mss 16396,sackOK,timestamp 166610063 166610063,nop,wscale 2>
14:26:17.213887 IP 172.25.40.208.49040 > 172.25.40.208.9999: . ack 1 win 8192 <nop,nop,timestamp 166610063 166610063>

step2: send(client)

14:26:59.682802 IP 172.25.40.208.49040 > 172.25.40.208.9999: P 1:10(9) ack 1 win 8192 <nop,nop,timestamp 166620679 166610063>
14:26:59.682867 IP 172.25.40.208.9999 > 172.25.40.208.49040: . ack 10 win 8192 <nop,nop,timestamp 166620679 166620679>

step3: close(server)

14:28:16.448889 IP 172.25.40.208.9999 > 172.25.40.208.49040: F 1:1(0) ack 44 win 8192 <nop,nop,timestamp 166639869 166628957>
14:28:16.449045 IP 172.25.40.208.49040 > 172.25.40.208.9999: . ack 2 win 8192 <nop,nop,timestamp 166639870 166639869>
  • netstat
    client: CLOSE_WAIT
    server: FIN_WAIT2

step4: send(client)

14:45:24.783124 IP 172.25.40.208.37241 > 172.25.40.208.9999: P 8:13(5) ack 2 win 8192 <nop,nop,timestamp 166896937 166892750>
14:45:24.783142 IP 172.25.40.208.9999 > 172.25.40.208.37241: R 3992527880:3992527880(0) win 0

此时客户端依然可以发送数据(这里发送了 5 个字节),服务端已经关闭连接,所以内核回包为 “RESET”.

正常的连接断开

显然,上面的连接断开是非正常的连接断开,下面是正常的连接断开。

client close, server read 0 and close

16:11:48.289783 IP 172.25.40.208.35642 > 172.25.40.208.9999: F 5:5(0) ack 1 win 8192 <nop,nop,timestamp 168192733 168190498>
16:11:48.289870 IP 172.25.40.208.9999 > 172.25.40.208.35642: F 1:1(0) ack 6 win 8192 <nop,nop,timestamp 168192733 168192733>
16:11:48.289879 IP 172.25.40.208.35642 > 172.25.40.208.9999: . ack 2 win 8192 <nop,nop,timestamp 168192733 168192733>

内核将连接断开的第 2 和 3 个包合并为一个包了。

client close, server read 0, sleep, then close

16:38:28.395910 IP 172.25.40.208.35219 > 172.25.40.208.9999: F 5:5(0) ack 1 win 8192 <nop,nop,timestamp 168592734 168591624>
16:38:28.433255 IP 172.25.40.208.9999 > 172.25.40.208.35219: . ack 6 win 8192 <nop,nop,timestamp 168592744 168592734>
16:38:29.397193 IP 172.25.40.208.9999 > 172.25.40.208.35219: F 1:1(0) ack 6 win 8192 <nop,nop,timestamp 168592985 168592734>
16:38:29.397215 IP 172.25.40.208.35219 > 172.25.40.208.9999: . ack 2 win 8192 <nop,nop,timestamp 168592985 168592985>

发现客户端关闭连接后,sleep 一下再 close 则第 2 和 3 个包不会合并。

duyiwuer2009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过tcpdump分析TCP报文(1)
Qmeng的博客
05-03 1万+
第一部分,先熟悉一下tcpdump的基本使用并对一个普通的TCP数据报文进行分析tcpdump的基本使用 常用参数: 参考:https://blog.51cto.com/nickfox/2089655 -i 指定监听的网络接口 -nn IP和端口均以数字形式显示 -c 在收到指定的数量的分组后,tcpdump停止,如果没有这个参数,tcpdump会持续不断的监听直到用户输入 [ctrl]-c...
tcpdump抓包分析网络流量 & 网络知识交流 -- 不停更新中!
最新发布
喝醉酒的小白
11-28 2523
当发送方收到不合法的、意外的或无法识别的数据包时,可以发送 RST 给对方来中断当前的连接。:重传是指在网络通信中,如果发送方没有收到对应的确认消息或者接收方检测到数据包丢失,就会重新发送相同的数据包给接收方。在使用TCP协议的情况下,当一个数据包丢失时,发送端会重新发送该数据包,以确保数据的完整性。总结来说,网络层的路由表是一种用于确定数据包传输路径的数据结构,它存储了网络层地址和相应的下一跳信息,帮助路由器选择正确的路径将数据包从源主机传输到目标主机。: MTU指的是网络中能够传输的最大数据包大小。
浅谈 TCP 握手/数据传输/挥手过程以及 tcpdump 抓包工具使用
vnjohn 博主 > 主线分享后端领域业务设计知识、源码思想、架构设计
03-05 2868
该文章浅谈了 TCP 三次握手、数据传输、四次挥手的交互过程,通过 tcpdump 抓包工具对这三个流程进行了信息的输出以及介绍,文末整理了一些操作 TCP 常用的命令以及一些常见的问题,当然,对于整个 TCP 可靠性协议,这些只是皮毛一角了,后续会细究出更多内容进行输出
Linux网络编程之tcpdump抓包分析TCP三次握手过程
xiaohuima_dong的专栏
04-11 654
原文地址:http://blog.csdn.net/polarbearboy/article/details/6679601 使用TCP协议进行网络通讯时,通信的两端首先需要建立起一条连接链路,当然这并不表示使用UDP通信不需要“连接链路”,这里说的连接链路指的是通信协议范畴的东东,并不是物理介质或者电磁波信号,只所以说TCP是面向连接的网络通信协议,主要是指双方在通信时都会保持一些连接相关
tcpdump 实例-获取网络包的50种方法
任我行的博客
07-18 543
TCPDUMP 毫无疑问是最重要的网络分析工具,因为它简单实用,而且功能强大。 这篇教程将会教你从 IP、端口、协议、应用层等多方面来获取通信数据包,确保你可以尽可能快的找到你想要的数据。 tcpdump 的安装很简单,在 ubuntu 上: $ apt install tcpdump 在 Redhat/Centos 上: $ yum install tcpdump 首先通过一个简单的命令来获取 HTPPS 的数据包: $ tcpdump -nnSX port 443 17:59:25.93821
TCPAnalyser:使用tcpdump分析TCP数据包,组织输出
03-19
TCPAnalyser是一个工具,用于分析通过tcpdump捕获的TCP数据包,并以更易读的形式组织输出结果。在深入探讨TCPAnalyser之前,我们先来理解TCP(传输控制协议)和tcpdump的基本概念。 TCP是互联网协议栈中最关键的...
tcp抓包工具,tcpdump
04-21
例如,只抓取TCP协议的数据包可以使用`tcpdump tcp`,只关注特定主机(如192.168.1.1)可以用`tcpdump host 192.168.1.1`。 对于网络调试,以下是一些常用的tcpdump选项: - `-i interface`:指定监听的网络接口。 ...
tcp连接转储tcpdump
11-13
TCP连接转储,通常指的是使用tcpdump工具对网络通信数据进行捕获和分析过程tcpdump是一个强大的网络分析工具,广泛应用于排查TCP连接中的各种问题,例如连接建立、数据传输和连接关闭等环节可能出现的问题。它能...
tcpdump数据抓包及分析
10-09
4. **解码和分析**:Wireshark会自动解析出每个包的协议层次结构,如TCP流、HTTP请求等,便于理解数据交互过程。 5. **统计和图表**:Wireshark提供统计和图表功能,可以帮助我们发现网络流量模式和异常。 结合...
tcpdump 代码分析
02-09
本篇文章将深入探讨tcpdump的代码结构、工作原理以及如何使用它来分析TCP/IP协议栈中的各种交互。 首先,tcpdump的工作流程主要包括以下几个步骤: 1. **数据包捕获**:tcpdump通过libpcap库与操作系统底层通信,...
tcpdump详解&实战
my的博客
05-03 2015
作为程序员,网路问题经常遇到,熟悉抓包工具,会使我们排查网络问题时候,事半功倍! 由于抓包我们经常还会查看设备以及端口的一些信息,所以我们先介绍下netstat工具 netstat工具简介和使用 netstat是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据...
使用tcpdump分析TCP三次握手与四次挥手
怀素的专栏
05-09 1645
技术上必须对APP设备进行监控,必须对TCP协议、长连接等技术进行研究。网上找到不少资料来验证握手和挥手的例子,总结如下: TCP/IP的数据封装图 为测试方便,使用python写网络连接。 client端连接 from socket import * import time addr = ('127.0.0.1', 9988) client = socket(AF_INET, ...
聊聊 tcpdump 与 Wireshark 抓包分析
juary_的专栏
06-24 4229
1 起因 前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更
tcpdump抓包分析详解
热门推荐
不用此栏
01-08 8万+
 說實在的,對於 tcpdump 這個軟體來說,你甚至可以說這個軟體其實就是個駭客軟體, 因為他不但可以分析封包的流向,連封包的內容也可以進行『監聽』, 如果你使用的傳輸資料是明碼的話,不得了,在 router 上面就可能被人家監聽走了! 很可怕吶!所以,我們也要來瞭解一下這個軟體啊!(註:這個 tcpdump 必須使用 root 的身份執行)
tcpdump抓包分析TCP三次握手过程
renrenhappy的专栏
10-09 6844
一、 tcpdump使用1、首先看下MAN手册TCPDUMP(8)                                                                                                                                                        NAME       tcpdump - dump traffic on a networkSYNOPSIS       tcpdump [
tcpdump来看3次握手4次挥手tcp连接过程以及解析
leaf_cold的博客
03-08 1475
ser 端代码cli端代码命令 tcpdump -i  lo -nnA 'port=6000' 这个的意思是监听6000号端口 记得加上lo 不能是ech0网卡 这个是回环地址由于是本机回环 使用IP都是一样的 端口号不同用 netstat -pan|grep cli 也可以19:36:06.190761 IP 192.168.243.128.37147 &gt; 192.168.243.128....
linux 版本wireshark_使用tcpdump和wireshark分析tcp
weixin_39563132的博客
11-28 274
使用tcpdump和wireshark分析tcpTcpdump抓包tcpdump -w packets.pcap -n -i eth0 tcp port 60 and dst host 10.22.47.66-i: 指定网络接口-n: 不做域名解析,使用ip-w: 抓包存储为可供wireshark解析的pcap格式tcp port 60 and dst host 10.22.47.66: 条件表...
使用tcpdump 进行网络包分析
Daniel 的技术笔记 不积跬步无以至千里,不积小流无以成江海。
01-18 1万+
tcpdump介绍 tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于 大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络的网络知识有
tcpdump报文分析详解
09-19
tcpdump是一种网络抓包工具,用于分析和监测网络中的报文传输情况。...总之,通过tcpdump报文分析,我们可以深入了解网络中的通信情况和报文交互过程,从而帮助我们识别和解决网络问题,提高网络的安全性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值