tcpdump命令只能抓到3次挥手

最新推荐文章于 2023-06-15 13:26:07 发布
最新推荐文章于 2023-06-15 13:26:07 发布
阅读量584 收藏
点赞数 1
分类专栏: Linux服务器开发 文章标签: linux 网络 socket tcpdump tcpip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/graphicswe/article/details/115944961
版权

        用了个两个Linux系统一个是服务器端,一个是客户端,并用tcpdump命令抓取数据包,查看两台机器用tcp协议进行连接和断开时的ip数据包,在查看连接建立的过程中是有3次握手,这个是正常的,但是再看连接断开时,却发现了问题,并没有传说中的4次挥手,反而只有3个数据包,无论是在客户端,还是服务器端,抓到的断开数据包只有三个,难道是tcp协议和实现还不一样吗?网上扑天盖地的全是4次挥手,而且大家都好像确信抓到4个数据包,难道在我这里出现了问题,还是我的抓取方式有问题,百思不得其解啊。。。

 

     

        最后原因找来找去,查到的认为可能的原因是服务器收到FIN数据包后, 调用close函数时, 清空socket缓存里的数据包,其中也包括服务器发出的ACK包,而且速度太快了,数据包存在时间太短了,结果导到这个数据包没有被tcpdump抓到,但是如果是这个原因的话,那应该在客户端会抓到断开的4个数据包,但是我在客户端和服务端都只抓到3个连接断开的数据包,后来分析TCP状态图,结合TCP包的数据字段分析终于找到原因了.

        可以看到TCP状态图中,客户端发送FIN 数据包给服务器就由ESTABLISHED状态进入到FIN_WAIT_1状态,如果此时收到服务器发送过来的FIN+ACK消息,将直接进入TIME_WAIT状态,这个时候客户端不用进入FIN_WAIT_2状态,断开连接的过程只用3个数据包就可以完成了。

        我们再来分析下tcpdump打印的数据包,看看是否收到了服务端发送的FIN+ACK消息,如果收到了,就证明实际上断开连接收发三个数据包就能完成,先看看TCP头部字段的

数据结构:

    

  

       

        可以看到上图红框中数据 8011 转成2进制就是  1000000000010001 ,很明显看到ACK和FIN字段就被设置了,所以这条消息就是状态图中服务端发送的FIN + ACK消息,直接让客户端进入到TIME_WAIT状态,此时看到的断开连接的数据包只有3个,而不是4个,也就不并是传说中的 “4次挥手了”。

       大家如果也碰到这种类似的情况也可以一起讨论下原因。

 

 

graphicswe
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
TCP的三挥手
YANGJIAN的博客
08-23 3733
记得以前在学习wireshark抓包的时候,是从最简单的三次握手和四挥断看起,因为这两步对于每一个完整健康的TCP交互流来说都是必不可少的 1、第一种情况 比如在电脑cmd发起telnet 119.147.6.185 80 ,客户端抓包: 从抓包来看是很正常的三次握手和四挥断 1.服务端FIN :Seq = a , Ack = b #我想断开连接 2.客户端ACK:Seq = b, Ack = a+1 #收到,断开吧 3.客户端FIN :Seq = b, Ack = a+1 #我也想断开
使用tcpdump分析TCP三次握手和四挥手
CommanderZero的博客
10-11 1686
使用tcpdump分析TCP三次握手和四挥手 自我感觉网络基础太薄弱了,最近打算恶补一下,先从TCP的建立连接和断开连接开始吧。 理论知识 从课本上我们都学过TCP建立连接的三次握手断开连接的四挥手网络上相关的介绍博客也很多,推荐一个博客计算机之间是如何进行通信的?;详解三次握手和四挥手,介绍得非常透彻易懂,感谢作者。 建立TCP server和client 使用python写了两个脚本:server.py和client.py,分别使用python socket实现TCP的server端和cli
tcpdump抓包分析TCP三次握手过程
renrenhappy的专栏
10-09 6827
一、 tcpdump使用1、首先看下MAN手册TCPDUMP(8)                                                                                                                                                        NAME       tcpdump - dump traffic on a networkSYNOPSIS       tcpdump [
Wireshark抓包分析TCP,发现居然只有三挥手
snail-jie的博客
12-09 4438
背景 本人一直不喜欢背八股文,喜欢源码调式和测试,相信自己看到的,所以一直苦于怎样去学习网络协议。昨天看了一篇文章《简单的 HTTP 调用,为什么时延这么大?》,里面有用到Wireshark抓包工具分析了耗时原因。趋于好奇心,网上了解一下Wireshark怎样使用,发现一篇好文《(图文并茂,权威最详细)Wireshark抓包分析 TCP三次握手/四挥手详解》,自己动手安装分析一波 搭建环境 下载Wireshark:https://www.wireshark.org/#download(版本为3.6.0)
19.TCP协议解析、tcpdump抓包分析三次握手和四挥手
yanghangwww的博客
05-31 1234
1.tcp报文格式: 16 位源端口,16 位目的端口: 数据从何而来,去向何方。 32 位序号,32 位确认序号: 和 TCP 的 ACK 机制有关,发送端给数据进行编号,接收端收到数据后确认收到哪些编号的数据。 4 位报头长度: 表示 TCP 的首部占用多少个 4 字节。 6 个标志位: URG 紧急指针是否有效; ACK 确认号是否有效; PSH 提示接收端应用程序立刻从TCP缓冲区把数据读走; RST 复位标志,对方要求重新建立连接; SYN 同步标志,请求建立连接; FIN 结束标志,通知对方,
tcp断开连接,4握手,为什么wireshark 只能抓到3个包?
weixin_34185512的博客
11-11 1668
用wireshark 抓包,看看tcp 断开连接的过程.  以前书上说tcp断开连接,4握手,可我为什么wireshark 只能抓到3个包?   百度一下,别人也有类似的疑问。 【求助】书上和网上的资料说,TCP拆除连接需要四握手。但是本人多用wireshark抓包,都只能截到三个包 在网上搜索了很久都没有找到满意的解释。由于本人要填写实验报告,结果这样子就没法填了。 按照理论,TCP断...
Linuxtcpdump命令实例详解
09-15
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包...下面这篇文章主要给大家介绍了关于Linuxtcpdump命令的相关资料,需要的朋友可以参考借鉴,下面来一起看看吧。
Linuxtcpdump命令解析及使用详解
01-09
实用命令实例 默认启动 tcpdump 普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。 监视指定网络接口的数据包 tcpdump -i eth1 如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是...
抓包命令tcpdump.pdf
10-11
tcpdump 命令是用于抓包的强大工具,它可以捕获和显示网络流量的详细信息。在系统管理员和网络工程师中/tcpdump 是一个非常有用的工具,可以帮助他们 debug 网络问题、分析网络流量、检测网络攻击等。 tcpdump 命令...
Linux tcpdump命令用法详解
01-09
Linux tcpdump命令 Linux tcpdump命令用于倾倒网络传输数据。 执行tcpdump指令可列出经过指定网络界面的数据包文件头,在Linux操作系统中,你必须是系统管理员。 语法tcpdump [-adeflnNOpqStvx][-c][-dd][-ddd][-F]...
Linux中的tcpdump命令示例详解
09-15
主要给大家介绍了关于Linuxtcpdump命令的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
wireshark抓php包,wireshark,tcp抓包_为什么我用wiresharktcp挥手包只抓到了三个?,wireshark,tcp抓包,tcp-ip - phpStudy...
weixin_39560924的博客
04-13 147
为什么我用wiresharktcp挥手包只抓到了三个?抓挥手包时只抓到了三个客户端代码import sockethost="121.42.196.153"port=9527BUFF_SIZE=1024s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)s.connect((host, port))print("connect to server...
tcpdump抓取tcp三次握手
星辰大海
10-09 2165
tcpdump抓取tcp三次握手 先要打开两个终端,打开root权限 输入 telnet www.baidu.com 80 查询一下IP号,然后输入ctrl+] 以及quit退出 administrator@ubuntu:~$ sudo su [sudo] password for administrator: root@ubuntu:/home/administrator# t
wireshark抓包分析四挥手,却只能抓到,有没有办法抓到
wanglei_11的博客
06-15 1609
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一握手 SYN 包,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据包,每超时重传的 RTO 是翻倍上涨的,直到 SYN 包的重传数到达 tcp_syn_retries 值后,客户端不再发送 SYN 包。在 Wireshark 的页面里,可以更加直观的分析数据包,不仅展示各个网络包的头部信息,还会用不同的颜色来区分不同的协议,由于这抓包只有 ICMP 协议,所以只有紫色的条目。
tcp挥手只抓的到3个包的原因分析
Grimm的博客
03-06 3505
理论上来说,tcp的四挥手过程是这样的 但是在今天真机抓包的时候发现了实际四握手的第二和第三貌似是合并在一起了,并没有分成两来发送(seq和ack的值是没问题的) 如图:整个通信过程的最后3个包为四挥手的过程 ...
tcpdump抓包实例演示三次握手,数据传输,四挥手过程
qq_44231964的博客
01-20 913
使用tcpdump监听百度的主页,抓包来分析数据传输的过程: 先看一个整体的过程,如图:这个是监听窗口 新开了一个终端去访问百度,可以在监听窗口发现传输的数据包: 下面分析一下监听窗口中的传输过程: 一、三次握手 第一握手:这是内核发出的第一个握手的包,包的大小为0字节,(我给百度发的第一个包) 15:12:56.924926 IP 192.168.95.128.53032(我的主机53032这个端口) > 14.215.177.39.80:(百度的ip和端口) Flags [S], seq
Linux Socket tcpdump/wireshark 只能捕获三挥手
清风笑
08-15 730
由于监听本地回环,速度太快, 导致服务器收到FIN以后, 调用close的时候, 清除了socket缓存里ACK应答,.所以导致现在出现的情况 解决方法:     只要服务器收到FIN后,休眠一点时间再调用close,那么就能通过tcpdump/wireshark看到完整的四挥手消息. /*********************************************
TCP挥手,可以变成三挥手吗?
小林coding
08-27 4735
当被动关闭方在 TCP 挥手过程中,如果「没有数据要发送」,同时「没有开启 TCP_QUICKACK(默认情况就是没有开启,没有开启 TCP_QUICKACK,等于就是在使用 TCP 延迟确认机制)」,那么第二和第三挥手就会合并传输,这样就出现了三挥手。所以,出现三挥手现象,是因为 TCP 延迟确认机制导致的。完!......
tcpdump 抓包命令 打印到 1.pcap
最新发布
04-13
tcpdump是一个常用的网络抓包工具,可以用于捕获网络数据包并进行分析。下面是使用tcpdump命令抓包结果打印到1.pcap文件的示例: ``` tcpdump -i <interface> -w 1.pcap ``` 其中,`<interface>`是要抓包网络接口,可以是网卡名称(如eth0)或者其他网络接口标识。 使用上述命令后,tcpdump会开始监听指定的网络接口,并将捕获到的数据包写入到1.pcap文件中。你可以使用Wireshark等抓包分析工具打开1.pcap文件,进行进一步的数据包分析和解读。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值