使用tcpdump分析TCP三次握手与四次挥手

最新推荐文章于 2022-08-25 16:20:37 发布
最新推荐文章于 2022-08-25 16:20:37 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: 网络技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huaishu/article/details/71475007
版权

技术上必须对APP设备进行监控,必须对TCP协议、长连接等技术进行研究。网上找到不少资料来验证握手和挥手的例子,总结如下:

TCP/IP的数据封装图

为测试方便,使用python写网络连接。

client端连接

from socket import *
import time
 
addr = ('127.0.0.1', 9988)
client = socket(AF_INET, SOCK_STREAM)
client.connect(addr)

客户端发送数据

from socket import *  
import time  
   
addr = ('127.0.0.1', 9988)  
client = socket(AF_INET, SOCK_STREAM)  
client.connect(addr)  
data = "something you want to send"
client.sendall(bytes(data,encoding="utf-8"))

服务端

import socket
import sys
import os
addr = ('127.0.0.1', 9988)
server = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
server.bind(addr)
server.listen(10)
 
while True:
        connection, address = server.accept()
        print 'connection ip:', address


因为客户端和服务端都在同一服务器上运行,所以tcpdump抓取回环网口的包。

命令:tcpdump -i lo port 9988 -S

连接抓包数据如下:

 -S打印绝对序列号

[root@iZ94m4komqtZ ~]# tcpdump -i lo port 9988 -S
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 65535 bytes
15:21:51.232541 IP localhost.53491 > localhost.nsesrvr: Flags [S], seq 4148256350, win 32792, options [mss 16396,sackOK,TS val 219442371 ecr 0,nop,wscale 7], length 0
15:21:51.232559 IP localhost.nsesrvr > localhost.53491: Flags [S.], seq 2654314821, ack 4148256351, win 32768, options [mss 16396,sackOK,TS val 219442371 ecr 219442371,nop,wscale 7], length 0
15:21:51.232572 IP localhost.53491 > localhost.nsesrvr: Flags [.], ack 2654314822, win 257, options [nop,nop,TS val 219442371 ecr 219442371], length 0
15:21:51.232756 IP localhost.nsesrvr > localhost.53458: Flags [F.], seq 3755233851, ack 568739121, win 256, options [nop,nop,TS val 219442371 ecr 219410140], length 0
15:21:51.232767 IP localhost.53458 > localhost.nsesrvr: Flags [.], ack 3755233852, win 257, options [nop,nop,TS val 219442371 ecr 219442371], length 0
[root@iZ94m4komqtZ ~]# tcpdump -i lo port 9988
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 65535 bytes
15:19:40.518488 IP localhost.53458 > localhost.nsesrvr: Flags [S], seq 568739119, win 32792, options [mss 16396,sackOK,TS val 219311657 ecr 0,nop,wscale 7], length 0
15:19:40.518506 IP localhost.nsesrvr > localhost.53458: Flags [S.], seq 3755233850, ack 568739120, win 32768, options [mss 16396,sackOK,TS val 219311657 ecr 219311657,nop,wscale 7], length 0
15:19:40.518516 IP localhost.53458 > localhost.nsesrvr: Flags [.], ack 1, win 257, options [nop,nop,TS val 219311657 ecr 219311657], length 0
15:19:40.518624 IP localhost.nsesrvr > localhost.53336: Flags [F.], seq 3236710803, ack 2675123021, win 256, options [nop,nop,TS val 219311657 ecr 218876156], length 0
15:19:40.518635 IP localhost.53336 > localhost.nsesrvr: Flags [R], seq 2675123021, win 0, length 0

第三条抓包记录中ack是增量数,通过-S后输出绝对值。

 

完整的连接退出抓包记录(客户端先退出)

15:35:36.184553 IP localhost.53723 > localhost.nsesrvr: Flags [S], seq 601334489, win 32792, options [mss 16396,sackOK,TS val 220267323 ecr 0,nop,wscale 7], length 0
15:35:36.184572 IP localhost.nsesrvr > localhost.53723: Flags [S.], seq 2424896127, ack 601334490, win 32768, options [mss 16396,sackOK,TS val 220267323 ecr 220267323,nop,wscale 7], length 0
15:35:36.184584 IP localhost.53723 > localhost.nsesrvr: Flags [.], ack 2424896128, win 257, options [nop,nop,TS val 220267323 ecr 220267323], length 0

15:41:56.774680 IP localhost.53723 > localhost.nsesrvr: Flags [F.], seq 601334490, ack 2424896128, win 257, options [nop,nop,TS val 220647913 ecr 220267323], length 0
15:41:56.775271 IP localhost.nsesrvr > localhost.53723: Flags [.], ack 601334491, win 256, options [nop,nop,TS val 220647914 ecr 220647913], length 0
15:42:30.798666 IP localhost.nsesrvr > localhost.53723: Flags [F.], seq 2424896128, ack 601334491, win 256, options [nop,nop,TS val 220681937 ecr 220647913], length 0
15:42:30.798701 IP localhost.53723 > localhost.nsesrvr: Flags [.], ack 2424896129, win 257, options [nop,nop,TS val 220681937 ecr 220681937], length 0

服务端先退出

15:44:54.833534 IP localhost.53878 > localhost.nsesrvr: Flags [S], seq 4112302445, win 32792, options [mss 16396,sackOK,TS val 220825972 ecr 0,nop,wscale 7], length 0
15:44:54.833552 IP localhost.nsesrvr > localhost.53878: Flags [S.], seq 200030957, ack 4112302446, win 32768, options [mss 16396,sackOK,TS val 220825972 ecr 220825972,nop,wscale 7], length 0
15:44:54.833563 IP localhost.53878 > localhost.nsesrvr: Flags [.], ack 200030958, win 257, options [nop,nop,TS val 220825972 ecr 220825972], length 0
15:45:09.036623 IP localhost.nsesrvr > localhost.53878: Flags [F.], seq 200030958, ack 4112302446, win 256, options [nop,nop,TS val 220840175 ecr 220825972], length 0
15:45:09.037282 IP localhost.53878 > localhost.nsesrvr: Flags [.], ack 200030959, win 257, options [nop,nop,TS val 220840176 ecr 220840175], length 0
15:45:17.106697 IP localhost.53878 > localhost.nsesrvr: Flags [F.], seq 4112302446, ack 200030959, win 257, options [nop,nop,TS val 220848245 ecr 220840175], length 0
15:45:17.106732 IP localhost.nsesrvr > localhost.53878: Flags [.], ack 4112302447, win 256, options [nop,nop,TS val 220848245 ecr 220848245], length 0

连接以及发送数据抓包记录

 

15:55:31.882680 IP localhost.54057 > localhost.nsesrvr: Flags [S], seq 1291529141, win 32792, options [mss 16396,sackOK,TS val 221463021 ecr 0,nop,wscale 7], length 0
15:55:31.882698 IP localhost.nsesrvr > localhost.54057: Flags [S.], seq 2823375663, ack 1291529142, win 32768, options [mss 16396,sackOK,TS val 221463021 ecr 221463021,nop,wscale 7], length 0
15:55:31.882710 IP localhost.54057 > localhost.nsesrvr: Flags [.], ack 2823375664, win 257, options [nop,nop,TS val 221463021 ecr 221463021], length 0
15:59:20.756517 IP localhost.54057 > localhost.nsesrvr: Flags [P.], seq 1291529142:1291529168, ack 2823375664, win 257, options [nop,nop,TS val 221691895 ecr 221463021], length 26
15:59:20.756532 IP localhost.nsesrvr > localhost.54057: Flags [.], ack 1291529168, win 256, options [nop,nop,TS val 221691895 ecr 221691895], length 0
15:59:39.844497 IP localhost.54057 > localhost.nsesrvr: Flags [P.], seq 1291529168:1291529194, ack 2823375664, win 257, options [nop,nop,TS val 221710983 ecr 221691895], length 26
15:59:39.844511 IP localhost.nsesrvr > localhost.54057: Flags [.], ack 1291529194, win 256, options [nop,nop,TS val 221710983 ecr 221710983], length 0


15:59:49.323498 IP localhost.54057 > localhost.nsesrvr: Flags [P.], seq 1291529194:1291529220, ack 2823375664, win 257, options [nop,nop,TS val 221720462 ecr 221710983], length 26
15:59:49.323513 IP localhost.nsesrvr > localhost.54057: Flags [.], ack 1291529220, win 256, options [nop,nop,TS val 221720462 ecr 221720462], length 0

TCP拆包现象,数据包大小大于16384后开始分包发送数据。

15:59:49.323498 IP localhost.54057 > localhost.nsesrvr: Flags [P.], seq 1291529194:1291529220, ack 2823375664, win 257, options [nop,nop,TS val 221720462 ecr 221710983], length 26
15:59:49.323513 IP localhost.nsesrvr > localhost.54057: Flags [.], ack 1291529220, win 256, options [nop,nop,TS val 221720462 ecr 221720462], length 0
16:04:02.794509 IP localhost.54057 > localhost.nsesrvr: Flags [P.], seq 1291529220:1291529223, ack 2823375664, win 257, options [nop,nop,TS val 221973933 ecr 221720462], length 3
16:04:02.794524 IP localhost.nsesrvr > localhost.54057: Flags [.], ack 1291529223, win 256, options [nop,nop,TS val 221973933 ecr 221973933], length 0
16:07:24.593642 IP localhost.54057 > localhost.nsesrvr: Flags [P.], seq 1291529223:1291531407, ack 2823375664, win 257, options [nop,nop,TS val 222175732 ecr 221973933], length 2184
16:07:24.593655 IP localhost.nsesrvr > localhost.54057: Flags [.], ack 1291531407, win 384, options [nop,nop,TS val 222175732 ecr 222175732], length 0
16:08:29.714511 IP localhost.54057 > localhost.nsesrvr: Flags [.], seq 1291531407:1291547791, ack 2823375664, win 257, options [nop,nop,TS val 222240853 ecr 222175732], length 16384
16:08:29.714536 IP localhost.nsesrvr > localhost.54057: Flags [.], ack 1291547791, win 384, options [nop,nop,TS val 222240853 ecr 222240853], length 0
16:08:29.714545 IP localhost.54057 > localhost.nsesrvr: Flags [P.], seq 1291547791:1291553247, ack 2823375664, win 257, options [nop,nop,TS val 222240853 ecr 222175732], length 5456
16:08:29.714552 IP localhost.nsesrvr > localhost.54057: Flags [.], ack 1291553247, win 349, options [nop,nop,TS val 222240853 ecr 222240853], length 0

 

 

实战:tcpdump抓包分析三次握手四次挥手
永远在学习Linux之路上
06-05 764
本文档以实战的形式介绍tcpdump抓包分析三次握手四次挥手的过程。 执行tcpdump命令 tcpdump -n -i ens32 host 192.168.10.10 and 42.186.113.26 >> /tmp/tcpdump.txt ping game.campus.163.com curl http://game.campus.163.com curl http://game.campus.163.com结束后,停止ping game.campus.163
使用tcpdump分析TCP三次握手四次挥手
CommanderZero的博客
10-11 1818
使用tcpdump分析TCP三次握手四次挥手 自我感觉网络基础太薄弱了,最近打算恶补一下,先从TCP的建立连接和断开连接开始吧。 理论知识 从课本上我们都学过TCP建立连接的三次握手和断开连接的四次挥手,网络上相关的介绍博客也很多,推荐一个博客计算机之间是如何进行通信的?;详解三次握手四次挥手,介绍得非常透彻易懂,感谢作者。 建立TCP server和client 使用python写了两个脚本:server.py和client.py,分别使用python socket实现TCP的server端和cli
tcpdump抓包分析TCP三次握手过程
renrenhappy的专栏
10-09 6915
一、 tcpdump使用1、首先看下MAN手册TCPDUMP(8)                                                                                                                                                        NAME       tcpdump - dump traffic on a networkSYNOPSIS       tcpdump [
tcpdump来看3次握手4次挥手tcp连接过程以及解析
leaf_cold的博客
03-08 1532
ser 端代码cli端代码命令 tcpdump -i  lo -nnA 'port=6000' 这个的意思是监听6000号端口 记得加上lo 不能是ech0网卡 这个是回环地址由于是本机回环 使用IP都是一样的 端口号不同用 netstat -pan|grep cli 也可以19:36:06.190761 IP 192.168.243.128.37147 > 192.168.243.128....
通过tcpdump了解TCP连接建立三次握手的具体过程
Hide_on_code的博客
01-19 779
通过tcpdump了解TCP连接建立三次握手的具体过程 tcpdump简介 tcpdump采用命令行方式对接口的数据包进行筛选抓取,其丰富特性表现在灵活的表达式上。 tcpdump命令格式 tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ e...
Tcpdump分析TCP协议三次握手过程
wxdvc的专栏
03-01 1528
TCP(Transmission Control Protocol) 传输控制协议    TCP是主机对主机层的传输控制协议,提供可靠的连接服务,采用三次握手确认建立一个连接:     位码即tcp标志位,有6种标示:SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG
TCP三次握手四次挥手详细图解.docx
05-24
TCP 三次握手四次挥手详细图解 TCP 三次握手是指建立一个 TCP 连接时,需要客户端和服务器总共发送 3 个包。三次握手的目的是连接服务器指定端口,建立 TCP 连接,并同步连接双方的序列号和确认号并交换 TCP 窗口...
使用tcpdump监控和解析tcp三次握手四次挥手
DuanYi1998的博客
07-08 860
TCP协议在网络分层模型中处于传输层,许多的应用层协议(例如HTTP,SMTP等)是基于传输层TCP协议工作的,TCP协议提供了面向连接的可靠的传输服务,理解TCP协议的工作原理对于工作和面试是非常有帮助的。 TCP连接三次握手 为了简便,使用nc命令来模拟服务器和客户端来建立连接的三次握手过程。 首先在linux上打开一个终端,键入nc -v -l 127.0.0.1 22222命令,该命令的作用是让该主机监听本机的22222端口,充当服务器功能。 接下来再打开一个终端使用tcpdump...
使用tcpdump观察tcp三次握手四次挥手,以及http的keep-alive机制
cwdben的博客
12-26 1793
测试方法: 服务器使用自己写的,架设在阿里云服务器上。 打开两个终端,分别运行 cwd@cwd:~$ sudo tcpdump dst 116.62.35.197 and tcp cwd@cwd:~$ sudo tcpdump src 116.62.35.197 and tcp 测试一: 使用postman发送有keep-alive标志的get请求一次,观察报文情况。 测试结果: 客户端发向服务器报文: cwd@cwd:~$ sudo tcpdump dst 116.62.35.197 and tcp tc
TCP三次握手四次挥手详解
chenxuyuana的博客
08-25 1336
TCP 三次握手丢包情况 第一次握手丢失了,会发生什么?当客户端想和服务端建立 TCP 连接的时候,首先第一个发的就是 SYN 报文,然后进入到 SYN_SENT 状态。在这之后,如果客户端迟迟收不到服务端的 SYN-ACK 报文(第二次握手),就会触发「超时重传」机制,重传 SYN 报文,而且重传的 SYN 报文的序列号都是一样的。不同版本的操作系统可能超时时间不同,有的 1 秒的,也有 3 秒的,这个超时时间是写死在内核里的,如果想要更改则需要重新编译内核,比较麻烦。当客户端在 1 秒后没收到服务端的
oracle常用端口7799,TCP注册端口号大全【7】
weixin_28894087的博客
04-14 5784
TCP注册端口号大全【7】(2014-06-08 15:18:29)标签:宠物afs3-fileserver 7000/tcp file server itselfafs3-fileserver 7000/udp file server itselfafs3-callback 7001/tcp callbacks to cache managersafs3-callback ...
TCP注册端口号大全7
yyfpeak的专栏
03-02 3万+
afs3-fileserver 7000/tcp file server itself afs3-fileserver 7000/udp file server itself afs3-callback 7001/tcp callbacks to cache managers afs3-callback 7001/udp callbacks to cache man
TCP三次握手详解-深入浅出(有图实例演示)
热门推荐
jun2016425的博客
08-08 32万+
TCP是属于网络分层中的传输层,因为OSI分为层,感觉太麻烦了,所以分为四层就好了,简单。 分层以及每层的协议,如下两张图: TCP三次握手 TCP三次握手简单如下图: TCP三次握手的过程描述: 1.客户主动(active open)去connect服务器,并且发送SYN 假设序列号为J, 服务器是被动打开(passive open) 2.服务器在收到SYN后,它...
TCP三次握手详解-深入浅出
Dream It Possible
03-29 4139
1. 准备 TCP是属于网络分层中的运输层(有的书也翻译为传输层),因为OSI分为7层,感觉太麻烦了,所以分为四层就好了,简单。 分层以及每层的协议,TCP是属于运输层(有的书也翻译为传输层),如下两张图: TCP三次握手会涉及到状态转换所以这里贴出TCP的状态转换图如下: 2.TCP三次握手简述 要想简单了解TCP三次握手,我们首先要了解TCP头部结构,如下: TCP传递给IP层的信息单位称为报文段或段,下面都用段做单位。 TCP三次握手如图: 2.1 第一次握手...
tcpdump使用tcp三次握手抓包,ack置1的一些说明
沉默的崽崽
12-10 9734
使用tcpdump抓包的时候,发现tcp三次握手,第三次的时候竟然将ack置1了,百思不得其解,难道是现在tcp的协议变了吗,让我困惑不已,直接上结果 [root@www test_cpp]# tcpdump -i any port 53 -nn -v tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), captur
tcpdump使用及举例分析TCP三次握手
ziyou飞翔的专栏
12-17 1592
一, tcpdump使用 首先看下MAN手册 TCPDUMP(8)                                                                                                                                                         NAME      
tcpdump 分析三次握手
qq_36974278的博客
04-06 188
tcpdump -nn -i eth0 port 80 # 把8 IO 重定向到一个连接,只是创建连接 exec 8<> /dev/tcp/www.baidu.com/80 ![每一行都是一个socket,是由四元组组成的](https://img-blog.csdnimg.cn/8fecaa80950844788a6e3b712c543f48.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NE
利用tcpdump抓包工具监控TCP连接的三次握手和断开连接的四次挥手
芳草源的博客
08-05 5050
TCP传输控制协议是面向连接的可靠的传输层协议,在进行数据传输之前,需要在传输数据的两端(客户端和服务器端)创建一个连接,这个连接由一对插口地址唯一标识,即是在IP报文首部的源IP地址、目的IP地址,以及TCP数据报首部的源端口地址和目的端口地址。TCP首部结构如下: 其中在TCP连接和断开连接过程中的关键部分如下: 1.源端口号:即发送方的端口号,在TCP
Linux网络编程之tcpdump抓包分析TCP三次握手过程
春风得意,马蹄仍急;少年豪情,一笑难回。
10-23 2723
博主:这篇文章是真好啊。刚刚在网上看到的都是些tcpdump的参数解析,我了个去! 还是这个好,不过这个运行时 (1)client端要注意:./client  127.0.0.1 (2) tcpdump 'port 20000' -i lo -S   //20000后面是 字母 l o ,一开始看成是管道符号。。。囧     转自:http://blog.csdn.net/polarb
TCP连接与优化:从三次握手到Linux系统配置
(3)TCP建立连接:三次握手TCP建立连接的过程,包括SYN(同步序列编号)、SYN+ACK(同步+确认)和ACK(确认)三个阶段,确保双方都有能力并愿意进行通信。 (4)TCP数据传输:在连接建立后,TCP通过滑动窗口机制...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值