数据如下:
15:20:16.303067 00:22:19:4f:7a:09 > 00:22:19:4f:7c:f2, ethertype IPv4 (0x0800), length 60: IP 192.168.20.17.2513 > localhost.localdomain.9900: . ack 800828764 win 65535
0x0000: 4500 0028 aabc 4000 7b06 8ca8 c0a8 1411 E..(..@.{.......
0x0010: c0a8 3309 09d1 26ac a2e8 a2d0 2fbb ad5c ..3...&...../../
0x0020: 5010 ffff 941b 0000 0000 0000 0000 P.............
ip header段数据分析基本同(1)的描述,只是checksum不同,源、目的ip互换等等
ip header数据从第一行4500到第二行的3309
tcp段的分析有所不同:
(1)源端口:0x09d1-->2513
(2)目的端口:0x26ac-->9900
(3)序列号:a2e8 a2d0-->2733155024,本方的syn号
(4)Acknowlege Number:2fbb ad5c-->800828764,对方发来的syn+1,发回去作为ack number
(5)Data Offset:5 (5时,无Options段)
(6)6位Reserved
(7)6位Code:10转为二进制为00010000,取6位为010000,表示发送的数据为ack
(8)window size:0xffff-->65535
(9)checksum:941b
(10)urgent pointer:0000
(11)Options + Padding:无Options,有0000 0000 0000,还不太理解