tcpdump使用时tcp三次握手抓包,ack置1的一些说明

最新推荐文章于 2024-05-17 04:41:58 发布
最新推荐文章于 2024-05-17 04:41:58 发布
阅读量9.6k 收藏 7
点赞数 7
分类专栏: Linux 文章标签: tcp三次握手 tcpdump ack置一 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32503701/article/details/53559759
版权

在使用tcpdump抓包的时候,发现tcp的三次握手,第三次的时候竟然将ack置1了,百思不得其解,难道是现在tcp的协议变了吗,让我困惑不已,直接上结果

[root@www test_cpp]# tcpdump -i any port 53 -nn -v

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
17:09:32.524005 IP (tos 0x0, ttl 64, id 30266, offset 0, flags [DF], proto TCP (6), length 60)
    127.0.0.1.46894 > 127.0.0.1.53: Flags [S], cksum 0x3e3d (correct), seq 3479715283, win 65495, options [mss 65495,sackOK,TS val 20728809 ecr 0,nop,wscale 7], length 0
17:09:32.524066 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    127.0.0.1.53 > 127.0.0.1.46894: Flags [S.], cksum 0x74c2 (correct), seq 729305304, ack 3479715284, win 65483, options [mss 65495,sackOK,TS val 20728809 ecr 20728809,nop,wscale 7], length 0
17:09:32.524100 IP (tos 0x0, ttl 64, id 30267, offset 0, flags [DF], proto TCP (6), length 52)
    127.0.0.1.46894 > 127.0.0.1.53: Flags [.], cksum 0x9b7e (correct), ack 1, win 512, options [nop,nop,TS val 20728809 ecr 20728809], length 0

首先握手先在本地启了一个dns server,用tcpdump抓53端口的包,然后使用dig 命令+tcp进行查询,然后就出现了上面的结果,当然,通过Telnet,也可以重现这个现象。

现象就是三次握手的最后一次,ack 1????

第一次客户端127.0.0.1.46894 发送seq 3479715283,随机生成的

第二次服务器 127.0.0.1.53 发送seq 729305304, ack 3479715284 ,,ack是前一次的seq+1

第三次客户端127.0.0.1.46894发送ack 1,这不科学,按理来说应该是第二次的seq+1。

重复了几次,都是这样的,通过telnet也是一样的,自己开个网页,去访问抓包也是这样的,这怎么办!!

然后将抓包的报文保存下来-w ,在wireshark上打开,是这样的:


只看前三条,是三次握手的过程在这里:

第一次客户端127.0.0.1.46894 发送seq 0,随机生成的

第二次服务器 127.0.0.1.53 发送seq 0, ack 1 ,,ack是前一次的seq+1

第三次客户端127.0.0.1.46894发送seq 1,ack 1, ack是第二次的seq+1。

再看下面的详细解释:

第一条:

看第二条的解释:


第三条:


原来seq,ack,还是用的原来的tcp协议,没有改变,只不过在wireshark中使用了相对量来显示,

第一次seq:30 aa 5d 22 

第二次seq: 8a 5d 87 9b  ack:30 aa 5d 23     ack恰好是上一次的seq➕1

第三次seq:30 aa 5d 23  ack: 8a 5d 87 9b ack恰好是上一次的seq➕1。

那么现在可以知道了,抓包本身确实是没有问题的,那问题就只能是tcpdump自己显示的功能有问题了,

应该是tcpdump,前两次都是用的绝对量,第三次然后使用了个相对量,ack 1,这逻辑也是没谁了!!!!无力吐槽,还以为是tcp协议改了呢。

沉默的崽崽
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
tcp三次握手ack均是1?
FeeLing
08-18 487
本人做了tcp连接测试,但是结果和网络中其他人的说法有点不一致! 测试使用了命令:tcpdump //s1用网卡ens33抓取端口好为80的网络数据包 tcpdump -nn -i ens33 port 80 //s2访问百度,建立3次连接请求数据 curl www.baidu.com s1抓取到请求数据包如下图: ​结果显示三次握手里面第三次的ack并不是第二次的seq加1,而是1,测试多次均是1,那位大神能解释一下?是我错了还是那些文章有问题 ...
tcpdump抓包
喝醉酒的小白
07-09 260
该数据包长度为0,可能是一个空的SYN请求数据包。这是一个网络数据包的IP层级信息。
Wireshark抓包:详解TCP三次握手报文内容_tcp三次握手抓包(1)
最新发布
2401_84715513的博客
05-17 499
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新需要这份系统化的资料的朋友,可以戳这里获取由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**需要这份系统化的资料的朋友,可以戳这里获取。
如何使用tcpdump来捕获TCP SYN,ACK和FIN包
banbanlin的专栏
10-23 3434
问题:我想要监控TCP连接活动(如,建立连接的三次握手,以及断开连接的四次握手)。要完成此事,我只需要捕获TCP控制包,如SYN,ACK或FIN标记相关的包。我怎样使用tcpdump来仅仅捕获TCP SYN,ACK和/或FYN包? 作为业界标准的捕获工具,tcpdump提供了强大而又灵活的包过滤功能。作为tcpdump基础的libpcap包捕获引擎支持标准的包过滤规则,如基于5重包头的过
Tcpdump命令抓包详细分析
萌兔兔MMQ!!
08-19 1万+
1 起因前段间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。为了更好、更顺手地能够用好这两个工具,特整理本篇文章,希望也能给大家带来收获。为大家之后排查问题,添一利器。2 tcpdump与Wireshark介绍。
TCP三次握手、四次挥手详解(Wireshark实践)
Hardworking666的博客
09-10 8066
TCP协议规定,只有ACK=1有效,也规定连接建立后所有发送的报文的ACK必须为1。当SYN=1而ACK=0,表明这是一个连接请求报文。2、然后Server 进行回复确认,即 SYN=1 ,声明自己的序号是 seq=y, 并设ack=x+1,服务器端:SYN-RECEIVED:在收到和发送一个连接请求后等待对方对连接请求的确认。当 FIN = 1 ,表明此报文段的发送方的数据已经发送完毕,并要求释放连接。客户端:SYN-SENT:在发送连接请求后等待匹配的连接请求。) 在连接建立用来同步序号。
TCP三次握手及四次挥手详细图解.docx
05-24
tcpdump 和 Wireshark 是两种常用的抓包工具,tcpdump 是一个命令行界面的抓包工具,而 Wireshark 是一个图形界面的抓包工具。使用 Wireshark 可以轻松地抓取和分析网络报文。 在局域网安全中,以太网是工作在数据...
_04TCP四次握手与抓包分析.zip_TCP捂手分析_抓包 tcp
09-24
标题中的“_04TCP四次握手与抓包分析.zip_TCP捂手分析_抓包 tcp”指的是一个关于TCP协议连接建立(三次握手)和断开(四次挥手)的讲解资料,结合网络抓包工具进行分析。这个压缩包可能包含了一个PPT文件,用于详细...
linux下通过命令来观察TCP三次握手过程(数据包)
01-07
在实际操作中,你可能需要配合`tcpdump`或`Wireshark`这样的网络抓包工具,以便更直观地分析数据包。 此外,`tomcat 最大并发数 - 小N- - 博客园.url`这个文件名可能指向一个关于Tomcat服务器最大并发连接数的博客...
tcp.rar_c语言编程_tcp_tcp 抓包_抓包_抓包分析
09-23
通过学习这个资源,你不仅可以掌握C语言编程技巧,还能深入了解TCP协议的工作流程,包括三次握手、四次挥手、拥塞控制、滑动窗口机制等核心概念。此外,对于网络故障排查和性能优化来说,掌握抓包分析技巧是必不可少...
tcpdump抓包分析
07-10
- 客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。 - 示例:`10.209.69.74 - 211.138.96.107` 通讯74回应ack连接建立。 通过...
tcp三次握手和四次断开以及tcpdump的基本使用
借风拥你
04-17 1081
tcp提供了一种面向连接的,可靠的的字节流服务。TCP的连接也就是"三次握手"的过程。所谓三次握手就是指:建立一个 TCP 连接需要客户端和服务器端总共发送三个包来确认连接的建立在TCP连接中的断开 常被称为"四次断开"或者"四次挥手"之所以断开需要四次:这是因为TCP的"半关闭"造成的.TCP是全双工的,因此每个方向必须单独地进行关闭。
python+requests接口测试
weixin_44487337的博客
01-10 1611
第一章 HTTP网络协议 在接口的测试过程中,所有的数据交互都是基于网络协议来进行交互的。目前业内最为主流的是HTTP网络协议。占据有90%左右比例 在系统的交互过程中,HTTP网络协议是如何实现交互的? 目前在计算机的数据交互中最为有效的一种交互形式。 1.1 网络协议下的交互 网络协议下的交互总计4个步骤: 1.基于访问的url进行识别,与服务器进行连接的建立 解析url,识别到服务器的IP地址。基于服务器进行通信与连接。最终建立一条C-S的连接通道。 2.基于C端请求的数据内容,进行一次请求下发。 3
tcp三次握手详解
tanyeqiang的博客
12-30 664
tcp
【网络安全 | 网络协议】结合Wireshark讲解TCP三次握手
等风来
12-25 4207
由上图可以看到,seq为1,表示客户端期望收到的下一个序列号是1;ack为1代表本机同意接受连接;syn为1并进入set状态,表示确认服务端(baidu.com)的同意(即确认服务器的序列号为0)在建立 TCP 连接,需要进行三次握手,防止因为网络延迟、拥塞等原因导致的数据丢失或错误传输,确保双方都能够正常通信。由上图可以看到,seq为0,表示客户端的初始序列号为0;syn为1并进入set状态,说明本机请求建立连接并等待baidu.com的响应。由上图可以看到,seq为0,表示服务端的初始序列号为0;
TCP报文之-tcp dup acktcp Out-of-Order
热门推荐
chenfengdejuanlian的专栏
12-20 15万+
使用WireShark抓包,选择TCP报文,TCP是一种安全的协议,在网络出现状况也能安全稳定的传输数据,但是在网络出现问题tcp报文中会有很多中情况导致报文重传或者是重组。现在就在报文中遇到的几个问题来详细说明一下。 WireShark出现的常见提示 TCP Out_of_Order的原因分析: 一般来说是网络拥塞,导致顺序包抵达间不同,延太长,或者包丢失,需要重新组合数据单元,因为
详解TCP三次握手
罗罗的1024
04-13 9434
条件 在开始三次握手之前,我们先看看TCP头部结构,如下 了解一下什么是序列号和确认号 Sequence number 表示的是我方(发送方)这边,这个packet的数据部分的第一位应该在整个data stream中所在的位。(注意这里使用的是“应该”。因为对于没有数据的传输,如ACK,虽然它有一个seq,但是这次传输在整个data stream中是不占位的。所以下一个实际有数据的传输,会依旧从上一次发送ACK的数据包的seq开始) Acknowledge number 表示的是期望
一文搞定tcpdump基本用法
chinaltx的博客
02-16 6万+
一、一些简单的介绍 使用了独立于系统的libpcap的接口。libpcap是linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。 tcpdump将打印网络接口上与自己定义的布尔表达式相匹配的信息包的包头部分。 -w选项可以将抓包数据保存下来,利用wireshark等工具进一步分析。解码分析,分析的大部分对象都是16进制,所以一般都会用该参数配合wireshark使用 -r选...
tcp三次握手抓包分析
07-29
首先,我们来解释一下TCP三次握手的过程: 1. 客户端向服务器发送一个SYN(同步)包,其中包含一个随机生成的初始序号(ISN)2. 服务器收到SYN包后,会回复一个SYN+ACK(同步+确认)包,其中确认号是客户端发送的ISN加1,并且服务器也会生成一个自己的随机序列号。 3. 客户端再次回复一个ACK(确认)包,其中确认号是服务器发送的ISN加1。 这样,TCP连接就建立起来了。现在我们来分析一下抓包数据。 在抓包工具中,你可以使用Wireshark或者tcpdump来捕获网络数据包。当你开始抓包后,你会看到大量的数据包被捕获和显示。 对于TCP三次握手抓包分析,你需要过滤出与目标IP地址和端口相关的数据包。使用过滤器表达式"tcp.dstport == 目标端口 && ip.dst == 目标IP地址"可以帮助你过滤出特定的数据包。 在抓包的结果中,你应该能够看到三个关键的数据包: 1. SYN包:这是客户端发送的第一个数据包,源IP地址是客户端的IP地址,目标IP地址是服务器的IP地址,源端口是随机生成的,目标端口是服务器监听的端口。 2. SYN+ACK包:这是服务器作为对SYN包的回复发送的数据包,源IP地址是服务器的IP地址,目标IP地址是客户端的IP地址,源端口是服务器监听的端口,目标端口是客户端发送SYN包的源端口。 3. ACK包:这是客户端作为对SYN+ACK包的回复发送的数据包,源IP地址是客户端的IP地址,目标IP地址是服务器的IP地址,源端口是客户端发送SYN+ACK的源端口,目标端口是服务器监听的端口。 通过分析这些数据包的源、目标IP地址、端口号以及序列号和确认号等信息,你可以看到TCP三次握手过程中的交互步骤。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值