【linux tcp抓包之三次握手】

最新推荐文章于 2024-08-13 22:40:14 发布
最新推荐文章于 2024-08-13 22:40:14 发布
阅读量2.8k 收藏 6
点赞数
文章标签: linux tcpdump tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37674060/article/details/123601895
版权

【linux tcp抓包之三次握手】

写在前面

这一篇章我们先简单说一下,linux下面的抓包。这样也方便我们后面去抓取nginx的包取进行分析。,同时也简单的说一下

这边我们是使用了tcpdump和Wireshark相结合的方法去分析,主要就是在tcpdump下面可以把包给写到文件中去,然后在Wireshark中去进行分析。

三次握手

我们先看一下抓取的tcp三次握手的包,如下图:
在这里插入图片描述

tcpdump

然后我们先简单说一下tcpdump的命令,当然我们也可以同man tcpdump来看详细的说明。
tcpduml -i 指定需要监听的网卡。我们可以通过tcpdump -D,看我们当前可以查看的网卡。
在这里插入图片描述

参数说明

-n 对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析;
-nn 除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-X 输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-tttt 就是显示当前的时间戳,后面分别是年月日,时分秒 微妙

然后tcpdump这个参数是比较多的,大家可以man tcpdump去看看参数的说明。

然后 可以增加过滤比如指定host,port,proto等。
然后看一下我们这边的 tcpdump -i any -nn -n port -X 5051 。-i 指定所有的网卡,然后-nn 和-n 就是和上面说的一样,直接显示主机名和端口。
然后-X是说的是输出包的头部数据。然后port 5051就是指定了端口,因为我们的端口监听的这个端口。

返回值说明

然后我们说一下接下来的内容。就以第一个为主
2022-03-19 21:11:22.370405
这个是比较好理解的,就是当前的年月日,时分秒,然后最后一个是微妙数。

IP 127.0.0.1.42004 > 127.0.0.1.5051

然后这个说明用的是IP协议,然后首先是三次握手,是客户端主动链接,这里客户端启用了42004的临时端口去和服务进行链接。

Flags [S]

这个是一个标志位,在写在了tcp的header头中的。
然后我们先看看tcp header
在这里插入图片描述

然后看一下第四行的C,E,U,A,P,R,S,F,都代表着
在这里插入图片描述
SYN是这里面的同步位。
这里需要主要的是下面的Flags [S.]和 Flags [.],后面的.都是代表ACK的意思,这只这里省去了。
所以Flags [S.] 就是 SYN+ACK
Flags [.] 就是 ACK

win 43690, options [mss 65495,sackOK,TS val 251419064 ecr 0,nop,wscale 7], length 0

这个seq就是序号的意思,因为tcp规定,在三次握手中,即使没有发送数据,,也会消耗序号,观看我们的tcp header,这个seq就是 sequence number,占据16个位,所以最大是65535
win 就是窗口的大小,在tcp 头中就是 window size,可以看到是16个比特,单位是字节,因此字节的最大是2**16-1 = 65535 字节,但是在现在的带宽下,这会成为带宽的瓶颈,因为有一个窗口扩大因子。因此在本案例中,窗口真正的大小是 43690 * (2 ** 7) = 43690 * 128= 5592320。
窗口夸大因此在tcp的 扩展字段中,如图
在这里插入图片描述
在这里插入图片描述
其中kind=3是窗口扩大因子选项。
需要注意的是,在tcp中,往往会受到拥塞窗口的限制,所以真正的大小是窗口的真正的大小和拥塞窗口的最小值。
同时窗口扩大因子是在三次握手就固定的,后期不能修改

mss 65495

MSS(Maximum Segment Size,最大报文段大小)的概念是指TCP层所能够接收的最大段大小,该值只包括TCP段的数据部分,tcp头部和ip头部。可能很多人和MTU弄混,MTU是一个网络包的最大长度,以太网中一般为 1500 字节,这里我们用网上的一张图做介绍就一目了然

在这里插入图片描述
所以这里我们的tcp数据段最大是65495。

sackOK

发送端支持并同意使用SACK选。其实就是选择确认算法,当发生丢包的时候,只会重发丢弃的包也不会全部重发。

TS val 251419064 ecr 0,nop

TS就是Timpstamps ,时间错的意思,含义见下图
TS 和 ecr都是 tcp的扩展字段中的值,ecr在接收方会对发送放的TS进行计算并且返回给对端。

在这里插入图片描述

length 0

就是数据的长度,因为我们这次是三次握手,没有数据段的内容,所以数据段的长度是0。

协议头和包内容

其实就是让人迷惑的,这些是16进制和ASCII的形式显示,如下图所示
在这里插入图片描述
其实这些就是IP头+TCP头+包的内容,因为我们这个抓的是三次握手,没有内容。
首先我们来看一下IP头的部分,为了理解这个我们先看一下IP协议头
在这里插入图片描述
所以第一个4,就是代表了ipv4
第二个5 就是首部长度,单位是4字节,说明ip首部长度是5 * 4 =20字节。
所以接下来一直到第二行的7f 00 00 01都是说的ip首部。
然后接下来的都是tcp的协议头。
当然这些我们把tcddump -w out.cap.之后放到了WireShark中会更加直观,如图:
在这里插入图片描述

感兴趣的读者可以看一下wireshark抓包分析——TCP/IP协议

不爱学习的王小小
关注
tcpdump中的Flags [S.]和Flags [.]是什么意思?------顺便看看三次握手
认知 行动 坚持
06-27 4万+
我们用telnet发起tcp连接, 建立三次握手抓包来看看: xxxxxx$ sudo tcpdump -iany port 19006 -Xnlps0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, link-type LINUX_SLL (Linux
tcpdump Flags的含义
热门推荐
weixin_34401479的博客
09-05 1万+
在看tcpdump输出的时候,看到Flags[S],Flags[.],Flags[S.],Flags[P],搞不懂这是什么意思,百度搜索[tcpdump Flags ]竟然称心的答复.闲话少说,看man文档怎么说:Flags are some combination of S (SYN), F(FIN), P (PUSH), R (RST), U (URG),W (E...
tcpdump入门——抓取三次握手数据包
最新发布
小诸葛的博客
08-13 574
使用 nsenter 命令进入容器的网络命名空间。在 ip link 命令的输出中,容器的网络接口名称通常是以 eth 开头的,例如 eth0。使用 ip link 命令列出主机上的所有网络接口,并找到 veth 开头的接口即为容器在主机上的网络接口。首先,你需要获得容器的进程 ID(PID)。这个命令会列出容器内部的所有网络接口信息。lo 是容器的回环接口,不用于外部通信。eth0 是容器内的网络接口名称。这个命令将返回容器的 PID。
Linux27 -- 通过抓包观察三次握手和四次挥手、链接的状态(tcp状态转移图)、TIME_WAIT 存在的原因
kyrie_sakura的博客
03-07 482
通过抓包观察三次握手和四次挥手 链接的状态(tcp状态转移图) TIME_WAIT 存在的原因
tcpdump中的Flags S 和Flags 是什么意思 ------顺便看看三次握手
sjhfkhsf的博客
02-15 4917
tcpdump中的Flags S 和Flags 是什么意思 ------顺便看看三次握手
2021-10-14
Edidaughter的博客
10-14 334
1.为什么抓包写不进去 tcpdump tcp port 10295 -i any -s 0 -w fuwuqitrap.cap 用kill 不用kill -9 2.ctl+C是几号信号-复习一下 3.
抓取Android & Linux网络包
chuifuhuo6864的博客
11-16 298
tcpdump -vv -s 300 -w /sdcard/capture.pcap root@android :/ # tcpdump --h tcpdump --h tcpdump version 3.9.8 libpcap version 0.9.8 Usage: tcpdump [-...
linuxtcpdump的使用
知识就是生产力
04-27 1369
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。实用命令实例 默认启动tcpdump 普通情况下,直接启动t
Wireshark抓包分析TCP三次握手,四次挥手”.doc
07-08
Wireshark 抓包分析 TCP三次握手,四次挥手” Wireshark 是一个功能强大的网络抓包工具,通过它我们可以抓包并分析 TCP/IP 传输过程。在本文中,我们将通过 Wireshark 来抓包和分析 TCP三次握手,四次挥手”...
抓包分析TCP三次握手和四次挥手
tianwange的博客
02-27 3555
抓包分析 实验主要两个内容: TCP三次握手和四次挥手过程 分析HTTPS的TLS握手过程 TCP三次握手 windows10下wireshark工具,浏览器访问47.93.242.17端口443,即HTTPS协议,源端口54407 过滤规则 ip.dst ==47.93.242.17 or ip.src == 47.93.242.17 过滤ip tcp.port == 80 过滤端口,无论是源端口还是目的端口 三次握手过程 第一次握手tcp报文段 报文段分析: 源端口:544
linux下通过命令来观察TCP三次握手过程(数据包)
01-07
本篇文章将详细介绍如何在Linux环境下通过命令行工具观察TCP三次握手的过程,并理解相关数据包的作用。 首先,让我们来解析TCP三次握手的具体步骤: 1. **第一次握手:SYN(同步序列编号)** 在这个阶段,客户端...
Golang案例开发之gopacket抓包三次握手四次分手(3)
cui_win的专栏
03-22 1756
TCP通讯的三次握手和四次分手,有很多文章都在介绍了,当我们了解了gopacket这个工具的时候,我们当然是用代码实践一下,我们的理论。本节内容就是好的实践。相信,通过今天的实践,你一定和我一样对TCP的协议的理解更加深刻。
抓包神器:Wireshark 实例分析TCP三次握手过程
l081499的博客
04-17 700
目录 wireshark介绍 wireshark不能做的 wireshark VS Fiddler 同类的其他工具 什么人会用到wireshark wireshark 开始抓包 wireshark 窗口介绍 wireshark 显示过滤 保存过滤 过滤表达式 封包列表(Packet List Pane) 封包详细信息 (Packet Details Pane) wireshark与对应的OS...
tcpdump flags 常见标志位汇总
qq_32783703的博客
09-09 3530
flags MF表示有更多分片,DF表示不分片,这里是DF,未使用分片,所以id和offset的值都可以忽略。S : SYN - 同步;P : PUSH - 推送;R : RST - 复位;F : FIN - 结束;A : ACK - 应答。
TCP报文中的sackOK含义和作用
疯狂老司机的博客
04-08 4862
一般TCP的ACK过程       在TCP的交互过程中,除了第一个SYN请求报文的ACK标志未置1外,其他的报文的ACK标志都是置1的。当客户端与服务器在交互的过程中,某些数据报被丢弃时,其ACK确认和后续数据交互的过程如下图所示:在上图所示的交互过程中,我们可以清楚的发现,在交互中由于某些未知的不可控的原因导致包含data-2的数据报文丢失。虽然仅有包含data-2的报文丢失,客户端已经收到其...
linux抓目标服务器的包,服务端的抓包
weixin_39867509的博客
05-09 247
如果不会在Linux命令行方式下抓包,永远不会成为服务端开发的高手;当一个技术系统变得越来越庞大复杂的时候,用抓包的方式来掌握和理解其中的网络交互,就变得尤为重要;抓包是掌握生产系统的一种方式,这种方式不依赖于具体的业务逻辑最近发现身边很多Java程序员和PHP程序员不会在服务器上抓包,还是蛮吃惊的,这里结合多年的经验,讲解如何在服务器上抓包1. Problem这里列举几个典型的技术问题,这些问题...
系统监测工具-tcpdump的使用
记录C++/Linux/操作系统的学习
04-07 666
因为该同步报文段是从客户端IP地址和端口号到服务器IP地址和端口号这个传输方向上的第一个TCP报文段,所以这个序号值也就是此次通信过程中该传输方向的ISN值。并且,因为这是整个通信过程中的第一个TCP报文段,所以它没有针对对方发送来的TCP报文段的确认值(尚未收到任何对方发送来的 TCP 报文段)。因为这是一次 TCP 通信的第一个 TCP报文段,所以它针对对方的时间戳的应答为0(尚未收到对方的时间戳)。因为这是一个同步报文段,所以win值反映的是实际的接收通告窗口大小。一个简单的tcpdump抓包过程。
TCP三次握手建立连接
JTSuperman的博客
05-04 778
TCP/IP协议族 是重中之重 ! 欢迎大家评论提问。
数据读写flags选项的使用-MSG_OOB
qq_43807092的博客
10-04 375
客户端代码 #include <iostream> #include <cstring> #include <cassert> #include <unistd.h> #include <stdio.h> #include <stdlib.h> #include <sys/types.h> #include <sys/socket.h> #include <arpa/inet.h> #include
wireshark三次握手抓包
11-16
以下是使用Wireshark抓包分析TCP三次握手过程的步骤: 1. 打开Wireshark并选择要抓取的网络接口。 2. 在过滤器中输入“tcp”,以便只捕获TCP流量。 3. 开始捕获数据包。 4. 打开一个新的命令行窗口并输入“ipconfig...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值