数据如下:
15:20:16.315251 00:22:19:4f:7c:f2 > 00:22:19:4f:7a:09, ethertype IPv4 (0x0800), length 62: IP localhost.localdomain.9900 > 192.168.20.17.2513: S 800828763:800828763(0) ack 2733155024 win 5840 <mss 1460,nop,nop,sackOK>
0x0000: 4500 0030 0000 4000 4006 725d c0a8 3309 E..0..@.@.r]..3.
0x0010: c0a8 1411 26ac 09d1 2fbb ad5b a2e8 a2d0 ....&.../..[....
0x0020: 7012 16d0 5087 0000 0204 05b4 0101 0402 p...P...........
ip header段数据分析基本同(1)的描述,只是checksum不同,源、目的ip互换等等
ip header数据从第一行4500到第二行的1411
tcp段的分析有所不同:
(1)源端口:0x26ac-->9900
(2)目的端口:0x09d1-->2513
(3)序列号:2fbb ad5b-->800828763
(4)Acknowlege Number:a2e8 a2d0-->2733155024,这个是上一步发过来的a2e8 a2cf + 1
(5)Data Offset:7
(6)6位Reserved
(7)6位Code:12转为二进制为00010010,取6位为010010,表示发送的数据为ack+syn
(8)window size:0x16d0-->5840
(9)checksum:5087
(10)urgent pointer:0000
(11)Options + Padding:只有Options,为0204 05b4 0101 0402,同(1)的描述