tcp四次挥手只抓的到3个包的原因分析

置顶 已于 2023-04-28 17:31:37 修改
阅读量3.8k 收藏 17
点赞数 9
文章标签: tcp 网络协议 四次挥手
于 2021-03-06 23:09:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/grimmp/article/details/114462274
版权
tcp 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
抓包
1 篇文章 0 订阅
订阅专栏
wireshark
1 篇文章 0 订阅
订阅专栏

理论上来说,tcp的四次挥手过程是这样的
第一次挥手(FIN):关闭连接的一方发送一个带有FIN(Finish)标志的TCP数据包,表示它已经没有数据要发送了,并请求关闭连接。该方将进入FIN_WAIT_1状态,等待另一方的确认。(实际这边被忽略了一个ACK,下文会解释)

第二次挥手(ACK):另一个方接收到关闭连接的请求后,会发送一个带有ACK(Acknowledgment)标志的TCP数据包,表示它已经收到了关闭连接的请求。此时,该方进入CLOSE_WAIT状态,等待关闭连接的请求。

第三次挥手(FIN):如果另一个方也没有要发送的数据了,它也会发送一个带有FIN标志的TCP数据包,表示它已经完成了数据发送,并请求关闭连接。该方进入LAST_ACK状态。

第四次挥手(ACK):关闭连接的一方接收到另一个方的关闭请求后,会发送一个带有ACK标志的TCP数据包,表示它已经收到了关闭请求,并确认关闭连接。此时,该方进入TIME_WAIT状态,等待一段时间后才会关闭连接。
在这里插入图片描述
但是在今天真机抓包的时候发现了实际四次握手的第二次和第三次是合并在一起了,并没有分成两次来发送(seq和ack的值是没问题的),后面查了下资料这种情况不仅发生在tcp,可能在其他的协议中也会发生,比如说ssl,在握手的过程中理论上的交互包有十来个,但是实际抓的可能才几个,这种现象是协议开发者为了提高效率而做的有意的合并,以下举个例子如图:整个通信过程的最后3个包为四次挥手的过程
Fin第一个包:首个挥手包本端告诉对端的FIN和本端告诉对端的ACK合并在了一起
在TCP连接中,关闭连接通常是由其中一方发起的。当一方决定关闭连接时,它会发送一个带有FIN标志的TCP报文,表示它已经没有数据要发送了,并请求关闭连接。但是,由于TCP是可靠传输协议,它需要确保发送的报文能够被对方正确接收。因此,在发送FIN标志的同时,也需要发送ACK标志,表示它已经确认接收到对方发送的数据,并且已经准备好关闭连接。这就是为什么第一次挥手发送的TCP报文中带有FIN和ACK标志的原因。只不过在实际及大多数人的理论中经常忽略这个ACK包
Fin第二个包:对端的FIN和对端回复本端FIN的ACK合并在一起
Fin第三个包:本端回复对端的FIN的ACK
在这里插入图片描述

Grimm·
关注
专栏目录
TCP三次握手和四次挥手为何只发送三个
傻傻分不清、
01-15 1368
首先说一下三次握手过程 一下摘自wiki handshake Establishing a normal TCP connection requires three separate steps: The first host (Alice) sends the second host (Bob) a "synchronize" (SYN) message with
一文真正了解TCP三次握手和四次挥手-wireshark分析
程序员小L的博客
08-11 664
我们TCP/IP指的的TCP/IP协议族,现代网络通讯都是基于这个协议族简历起来的。 UDP UDP(用户数据协议 User Datagram Protocol),UDP是一种无连接协议,UDP客户端与服务器不必存在长期的关系,例如一个UDP客户端创建一个套接字并发送一个数据报给一个服务器,然后立即用同一个套接字发送另一个数据报给另外一个服务器。同样,一个UDP服务器可以用同一个UDP套接字从若干个不同的客户端一连串接受多个数据报。 UPD不是可靠的,不能保证最终到达他们的目的地,不保证各个数据的先后顺序
TCP 四次挥手,可以变成三次挥手吗?
小林coding
08-27 5125
当被动关闭方在 TCP 挥手过程中,如果「没有数据要发送」,同时「没有开启 TCP_QUICKACK(默认情况就是没有开启,没有开启 TCP_QUICKACK,等于就是在使用 TCP 延迟确认机制)」,那么第二和第三次挥手就会合并传输,这样就出现了三次挥手。所以,出现三次挥手现象,是因为 TCP 延迟确认机制导致的。完!......
FIN和ACK--小标志大作用
最新发布
2301_79659699的博客
07-20 324
FIN和ACK标志位在TCP协议中分别用于表示连接的结束和数据的确认。它们在TCP连接的建立、数据传输和连接释放过程中都起着至关重要的作用,确保了TCP通信的可靠性和有序性。在实际应用中,这两个标志位的正确设置和使用是保障TCP网络通信质量的关键。
这一次,彻底弄懂TCP三次握手,四次挥手
weixin_33748818的博客
02-19 329
作为程序员,要有“刨根问底”的精神,知其然,更要知其所以然。这篇文章希望能抽丝剥茧,还原背后的原理。什么是“三次握手,四次挥手TCP 是一种面向连接的单播协议,在发送数据前,通信双方必须在彼此间建立一条连接。所谓的“连接”,其实是客户端和服务器的内存里保存的一份关于对方的信息,如 IP 地址、端口号等。TCP 可以看成是一种字节流,它会处理 IP 层或以下的层的丢、重复以及错误问题。在连接的建...
wireshark分析四次挥手,却只能三次,有没有办法到四次?
wanglei_11的博客
06-15 1714
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一次握手 SYN ,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据,每次超时重传的 RTO 是翻倍上涨的,直到 SYN 的重传次数到达 tcp_syn_retries 值后,客户端不再发送 SYN 。在 Wireshark 的页面里,可以更加直观的分析数据,不仅展示各个网络的头部信息,还会用不同的颜色来区分不同的协议,由于这次只有 ICMP 协议,所以只有紫色的条目。
详解 TCP 连接的“ 三次握手 ”与“ 四次挥手
CSDN资讯
12-29 6615
作者 | AhuntSun 责编| Elle TCP connection 客户端与服务器之间数据的发送和返回的过程当中需要创建一个叫TCP connection的东西; 由于TCP不存在连接的概念,只存在请求和响应,请求和响应都是数据,它们之间都是经过由TCP创建的一个从客户端发起,服务器接收的类似连接的通道,这个连接可以一直保持,http请求是在这个连接的基础上发送...
三次握手和四次挥手
shenhua969的专栏
10-09 163
三次握手和四次挥手是各个公司常见的考点,也具有一定的水平区分度,也被一些面试官作为热身题。很多小伙伴说这个问题刚开始回答的挺好,但是后面越回答越冒冷汗,最后就歇菜了。 见过比较典型的面试场景是这样的: 面试官:请介绍下三次握手 求职者:第一次握手就是客户端给服务器端发送一个报文,第二次就是服务器收到报文之后,会应答一个报文给客户端,第三次握手就是客户端收到报文后再给服务器发送一...
Wireshark分析TCP,发现居然只有三次挥手
snail-jie的博客
12-09 4666
背景 本人一直不喜欢背八股文,喜欢源码调式和测试,相信自己看到的,所以一直苦于怎样去学习网络协议。昨天看了一篇文章《简单的 HTTP 调用,为什么时延这么大?》,里面有用到Wireshark工具分析了耗时原因。趋于好奇心,网上了解一下Wireshark怎样使用,发现一篇好文《(图文并茂,权威最详细)Wireshark分析 TCP三次握手/四次挥手详解》,自己动手安装分析一波 搭建环境 下载Wireshark:https://www.wireshark.org/#download(版本为3.6.0)
Wireshark分析TCP三次握手,四次挥手”.doc
07-08
Wireshark 分析 TCP三次握手,四次挥手” Wireshark 是一个功能强大的网络工具,通过它我们可以分析 TCP/IP 传输过程。在本文中,我们将通过 Wireshark 来分析 TCP三次握手,四次挥手”...
wireshark分析tcp三次握手四次挥手详解及网络命令
06-08
TCP四次挥手是关闭TCP连接的过程,具体步骤如下: 1. **第一次挥手**:客户端向服务器发送一个FIN报文段,表示客户端已经没有数据需要发送了。 2. **第二次挥手**:服务器接收到FIN报文段后,会发送一个ACK报文段...
wireshark分析tcp三次握手四次挥手
06-25
使用wireshark分析,并且将特殊字段进行分析
TCP三次握手与四次挥手.pdf
04-23
接下来,分析TCP四次挥手的过程: 1. 第一次挥手:当客户端完成数据发送任务后,发送一个带有FIN(结束)标志的数据给服务器端,表示客户端没有数据需要发送了,请求关闭连接。客户端进入FIN_WAIT_1状态。 2. 第...
分析TCP三次握手和四次挥手
tianwange的博客
02-27 3543
分析 实验主要两个内容: TCP三次握手和四次挥手过程 分析HTTPS的TLS握手过程 TCP三次握手 windows10下wireshark工具,浏览器访问47.93.242.17端口443,即HTTPS协议,源端口54407 过滤规则 ip.dst ==47.93.242.17 or ip.src == 47.93.242.17 过滤ip tcp.port == 80 过滤端口,无论是源端口还是目的端口 三次握手过程 第一次握手tcp报文段 报文段分析: 源端口:544
tcp断开连接,4次握手,为什么wireshark 只能到3个
weixin_34185512的博客
11-11 1679
用wireshark ,看看tcp 断开连接的过程.  以前书上说tcp断开连接,4次握手,可我为什么wireshark 只能到3个?   百度一下,别人也有类似的疑问。 【求助】书上和网上的资料说,TCP拆除连接需要四次握手。但是本人多次用wireshark,都只能截到三个 在网上搜索了很久都没有找到满意的解释。由于本人要填写实验报告,结果这样子就没法填了。 按照理论,TCP断...
tcpdump命令只能到3次挥手
graphicswe的专栏
04-21 619
用了个两个Linux 系统一个做为服务器,一个做为客户端,并用tcpdump命令取数据,查看两台机器用tcp协议进行连接和断开时的ip数据,在查看连接建立的过程中是有3次握手,这个是正常的,但是再看连接断开时,却发现了问题,并没有传说中的4次挥手,反而只有3个数据,难道是tcp协议和实现还不一样吗?网上扑天盖地的全是4次挥手,而且大家都好像确信到4个数据,难道在我这里出现了问题,还是我的取方式有问题,百思不得其解啊。。。 最后原因找来找去,原因之一可能是服务...
tcp/ip 只有四次挥手?还有三次挥手
牧竹子
11-18 787
我们经常说tcp/ip 三次握手与四次挥手,实时上tcp/ip并不总是这样,它会存在一些特殊情况,并对这些特殊情况作了优化,下面给大家演示一遍: 取我的服务器地址8080端口的一次http请求 ,在服务器端执行命令,取8080端口的请求: tcpdump -S -i eth0 tcp port 8080 在客户端请求url地址 wget http://118.24.47.200:80...
wiresharkphp,wireshark,tcp_为什么我用wiresharktcp挥手到了三个?,wireshark,tcp,tcp-ip - phpStudy...
weixin_39560924的博客
04-13 175
为什么我用wiresharktcp挥手到了三个?挥手时只到了三个客户端代码import sockethost="121.42.196.153"port=9527BUFF_SIZE=1024s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)s.connect((host, port))print("connect to server...
四次挥手
u012223598的专栏
05-13 783
由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。 (1)客户端A发送一个FIN,用来关闭客户A到服务器B的数据传送(报文4)。 (2)服务器B收到这个FIN,
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Grimm·

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值