Linux网络编程之tcpdump抓包分析TCP三次握手过程

最新推荐文章于 2024-08-13 22:40:14 发布
最新推荐文章于 2024-08-13 22:40:14 发布
阅读量665 收藏 2
点赞数

原文地址:http://blog.csdn.net/polarbearboy/article/details/6679601

使用TCP协议进行网络通讯时,通信的两端首先需要建立起一条连接链路,当然这并不表示使用UDP通信不需要“连接链路”,这里说的连接链路指的是通信协议范畴的东东,并不是物理介质或者电磁波信号,只所以说TCP是面向连接的网络通信协议,主要是指双方在通信时都会保持一些连接相关的信息,比如已收到的分组的序列号,下一次需要收到的分组的序号,对方的滑动窗口信息等等。

        OK,闲话少扯,我们进入主题,下面结合一个简单的TCP服务端与客户端代码,借助tcpdump命令来分析一下TCP建立连接时的三次握手过程(Three-way handshake process)。

服务端代码如下:

[cpp] view plain copy
  1. /** 
  2.  * server.c 
  3.  * 
  4.  * TCP server program, it is a simple example only. 
  5.  * 
  6.  * Writen By: Zhou Jianchun 
  7.  * Date: 2011.08.12 
  8.  * 
  9.  * Compiled With: gcc -o client client.c 
  10.  * Tested On: Ubuntu 11.04 LTS 
  11.  * 
  12.  * gcc version: 4.5.2 
  13.  * 
  14.  */  
  15.   
  16. #include <stdio.h>  
  17. #include <sys/socket.h>  
  18. #include <unistd.h>  
  19. #include <sys/types.h>  
  20. #include <netinet/in.h>  
  21. #include <stdlib.h>  
  22. #include <time.h>  
  23. #include <strings.h>  
  24. #include <string.h>  
  25.   
  26. #define SERVER_PORT 20000  
  27. #define LENGTH_OF_LISTEN_QUEUE 10  
  28. #define BUFFER_SIZE 255  
  29. #define WELCOME_MESSAGE "welcome to our server."  
  30.   
  31. int main(int argc, char **argv)  
  32. {  
  33.     int server_fd, client_fd;  
  34.     struct sockaddr_in server_addr, client_addr;  
  35.   
  36.     if((server_fd = socket(AF_INET, SOCK_STREAM, 0)) < 0)  
  37.     {  
  38.         printf("create socket error, exit!\n");  
  39.         exit(1);  
  40.     }  
  41.   
  42.     bzero(&server_addr, sizeof(server_addr));  
  43.     server_addr.sin_family = AF_INET;  
  44.     server_addr.sin_port = htons(SERVER_PORT);  
  45.     server_addr.sin_addr.s_addr = htons(INADDR_ANY);  
  46.   
  47.     if(bind(server_fd, (struct sockaddr*)&server_addr, sizeof(server_addr)) < 0)  
  48.     {  
  49.         printf("bind to port %d failed, exit!\n", SERVER_PORT);  
  50.         exit(1);  
  51.     }  
  52.   
  53.     if(listen(server_fd, LENGTH_OF_LISTEN_QUEUE) < 0)  
  54.     {  
  55.         printf("failed to listen, exit!\n");  
  56.         exit(1);  
  57.     }  
  58.   
  59.     while(1)  
  60.     {  
  61.         char buf[BUFFER_SIZE];  
  62.         long timestamp;  
  63.         socklen_t length = sizeof(client_addr);  
  64.         client_fd = accept(server_fd, (struct sockaddr*)&client_addr, &length);  
  65.         if(client_fd <0)  
  66.         {  
  67.             printf("call accept error, break from while loop!\n");  
  68.             break;  
  69.         }  
  70.         strcpy(buf, WELCOME_MESSAGE);  
  71.         printf("connect from client: IP: %s, Port: %d\n", (char *)inet_ntoa(client_addr.sin_addr), ntohs(client_addr.sin_port));  
  72.         timestamp = time(NULL);  
  73.         strcat(buf, "timestamp on server:");  
  74.         strcat(buf, ctime(×tamp));  
  75.         send(client_fd, buf, BUFFER_SIZE, 0);  
  76.         close(client_fd);  
  77.   
  78.         close(server_fd);  
  79.         return 0;  
  80.     }  
  81. }  

客户端代码:
[cpp] view plain copy
  1. /** 
  2.  * client.c 
  3.  * 
  4.  * TCP client program, it is a simple example only. 
  5.  * 
  6.  * Writen By: Zhou Jianchun 
  7.  * Date: 2011.08.12 
  8.  * 
  9.  * Compiled With: gcc -o client client.c 
  10.  * Tested On: Ubuntu 11.04 LTS 
  11.  * 
  12.  * gcc version: 4.5.2 
  13.  * 
  14.  */  
  15.   
  16. #include <stdio.h>  
  17. #include <sys/socket.h>  
  18. #include <unistd.h>  
  19. #include <sys/types.h>  
  20. #include <netinet/in.h>  
  21. #include <stdlib.h>  
  22. #include <string.h>  
  23.   
  24. #define SERVER_PORT 20000  
  25. #define CLIENT_PORT ((20001 + rand()) % 65536)  
  26. #define BUFFER_SIZE 255  
  27. #define REQUEST_MESSAGE "welcome to connect the server.\n"  
  28.   
  29. void usage(char *name)  
  30. {  
  31.     printf("usage: %s IP\n", name);  
  32. }  
  33. int main(int argc, char **argv)  
  34. {  
  35.     int server_fd, client_fd, length = 0;  
  36.     struct sockaddr_in server_addr, client_addr;  
  37.     socklen_t socklen = sizeof(server_addr);  
  38.     char buf[BUFFER_SIZE];  
  39.   
  40.     if(argc < 2)  
  41.     {  
  42.         usage(argv[0]);  
  43.         exit(1);  
  44.     }  
  45.     if((client_fd = socket(AF_INET, SOCK_STREAM, 0)) < 0)  
  46.     {  
  47.         printf("create socket error, exit!\n");  
  48.         exit(1);  
  49.     }  
  50.     srand(time(NULL));  
  51.     bzero(&client_addr, sizeof(client_addr));  
  52.     client_addr.sin_family = AF_INET;  
  53.     //client_addr.sin_port = htons(CLIENT_PORT);  
  54.     client_addr.sin_port = htons(40000);  
  55.     client_addr.sin_addr.s_addr = htons(INADDR_ANY);  
  56.   
  57.     bzero(&server_addr, sizeof(server_addr));  
  58.     server_addr.sin_family = AF_INET;  
  59.     inet_aton(argv[1], &server_addr.sin_addr);  
  60.     server_addr.sin_port = htons(SERVER_PORT);  
  61.   
  62.     /*if(bind(client_fd, (struct sockaddr*)&client_addr, sizeof(client_addr)) < 0) 
  63.     { 
  64.         printf("bind to port %d failed, exit!\n", CLIENT_PORT); 
  65.         exit(1); 
  66.     }*/  
  67.   
  68.     if(connect(client_fd, (struct sockaddr*)&server_addr, socklen) < 0)  
  69.     {  
  70.         printf("can not connect to %s, exit!\n", argv[1]);  
  71.         exit(1);  
  72.     }  
  73.   
  74.     /*length = recv(client_fd, buf, BUFFER_SIZE, 0); 
  75.     if(length < 0) 
  76.     { 
  77.         printf("recieve data from %s error, exit!\n", argv[1]); 
  78.         exit(1); 
  79.     } 
  80.     */  
  81.     char *tmp = buf;  
  82.     while((length = read(client_fd, tmp, BUFFER_SIZE)) > 0)  
  83.     {  
  84.         tmp += length;  
  85.     }  
  86.     printf("frome server %s:\n\t%s", argv[1], buf);  
  87.     close(client_fd);  
  88.     return 0;  
  89. }  

代码逻辑十分简单,服务端程序启动后监听在20000端口,等待外部连接,客户端启动后连接过来,服务端发送一串字符串信息给客户端,然后退出,客户端在读取完信息后也退出。

运行程序之前先在另一个终端下输入如下命令:

tcpdump 'port 20000' -i lo -S

待两端程序退出后可以看到该命令输出如下信息:

[cpp] view plain copy
  1. 17:05:35.358403 IP neptune.local.49493 > neptune.local.20000: Flags [S], seq 1317094743, win 32792, options [mss 16396,sackOK,TS val 7083694 ecr 0,nop,wscale 6], length 0  
  2. 17:05:35.358439 IP neptune.local.20000 > neptune.local.49493: Flags [S.], seq 1311370954, ack 1317094744, win 32768, options [mss 16396,sackOK,TS val 7083694 ecr 7083694,nop,wscale 6], length 0  
  3. 17:05:35.358468 IP neptune.local.49493 > neptune.local.20000: Flags [.], ack 1311370955, win 513, options [nop,nop,TS val 7083694 ecr 7083694], length 0  
  4. 17:05:35.358871 IP neptune.local.20000 > neptune.local.49493: Flags [P.], seq 1311370955:1311371210, ack 1317094744, win 512, options [nop,nop,TS val 7083694 ecr 7083694], length 255  
  5. 17:05:35.358890 IP neptune.local.49493 > neptune.local.20000: Flags [.], ack 1311371210, win 530, options [nop,nop,TS val 7083694 ecr 7083694], length 0  
  6. 17:05:35.358913 IP neptune.local.20000 > neptune.local.49493: Flags [F.], seq 1311371210, ack 1317094744, win 512, options [nop,nop,TS val 7083694 ecr 7083694], length 0  
  7. 17:05:35.359419 IP neptune.local.49493 > neptune.local.20000: Flags [F.], seq 1317094744, ack 1311371211, win 530, options [nop,nop,TS val 7083694 ecr 7083694], length 0  
  8. 17:05:35.359441 IP neptune.local.20000 > neptune.local.49493: Flags [.], ack 1317094745, win 512, options [nop,nop,TS val 7083694 ecr 7083694], length 0  

下面我们逐条进行分析:

1.客户端通过49493端口向服务端的20000端口发送一个SYN同步请求包,展开第一次握手,其中Flags [S]表求数据包的类型为SYN, 即同步请求包,seq字段标识数据包序列号。

2.服务端发送ACK确认包,同时附代一个SYN请求包,在确认客户端同步请求的同时向客户端发送同步请求,其中Flags [S.]中的点号表示这是个确认包(ACK),S表示它同时又是一个SYN请求包。因为TCP是双工通信协议,连接建立之后双方可以同时收发数据,所以双方都发送了SYN包请求同步。

3.客户端发送ACK包确认服务端的SYN同步请求,可以看到此时Flags中只有一个小数点,表示这个包只是用来做确认的。

到此为止,三次握手过程就结束了,双方如果都收到了ACK包,则都进入到ESTABLISHED状态,表明此时可以进行数据发送了。

4.服务端向客户端发送一个数据包,包中的内容就是一个字符串,可以看到此时的Flags标识中有个字母P,意为PUSH DATA,就是发送数据的意思。

至此TCP三次握手过程的分析就结束了,由于本人水平有限,博客中的不妥或错误之处在所难免,殷切希望读者批评指正。同时也欢迎读者共同探讨相关的内容,如果乐意交流的话请留下您宝贵的意见,谢谢。


xiaohuima_dong
关注
使用tcpdump监控和解析tcp三次握手四次挥手
DuanYi1998的博客
07-08 829
TCP协议在网络分层模型中处于传输层,许多的应用层协议(例如HTTP,SMTP等)是基于传输层TCP协议工作的,TCP协议提供了面向连接的可靠的传输服务,理解TCP协议的工作原理对于工作和面试是非常有帮助的。 TCP连接三次握手 为了简便,使用nc命令来模拟服务器和客户端来建立连接的三次握手过程。 首先在linux上打开一个终端,键入nc -v -l 127.0.0.1 22222命令,该命令的作用是让该主机监听本机的22222端口,充当服务器功能。 接下来再打开一个终端使用tcpdump...
tcpdumptcp三次握手
星辰大海
10-09 2187
tcpdumptcp三次握手 先要打开两个终端,打开root权限 输入 telnet www.baidu.com 80 查询一下IP号,然后输入ctrl+] 以及quit退出 administrator@ubuntu:~$ sudo su [sudo] password for administrator: root@ubuntu:/home/administrator# t
tcp三次握手和四次断开以及tcpdump的基本使用
借风拥你
04-17 1123
tcp提供了一种面向连接的,可靠的的字节流服务。TCP的连接也就是"三次握手"的过程。所谓三次握手就是指:建立一个 TCP 连接时需要客户端和服务器端总共发送三个包来确认连接的建立在TCP连接中的断开 常被称为"四次断开"或者"四次挥手"之所以断开需要四次:这是因为TCP的"半关闭"造成的.TCP是全双工的,因此每个方向必须单独地进行关闭。
tcpdump入门——三次握手数据包
最新发布
小诸葛的博客
08-13 559
使用 nsenter 命令进入容器的网络命名空间。在 ip link 命令的输出中,容器的网络接口名称通常是以 eth 开头的,例如 eth0。使用 ip link 命令列出主机上的所有网络接口,并找到 veth 开头的接口即为容器在主机上的网络接口。首先,你需要获得容器的进程 ID(PID)。这个命令会列出容器内部的所有网络接口信息。lo 是容器的回环接口,不用于外部通信。eth0 是容器内的网络接口名称。这个命令将返回容器的 PID。
tcpdump抓包分析TCP三次握手过程
renrenhappy的专栏
10-09 6863
一、 tcpdump使用1、首先看下MAN手册TCPDUMP(8)                                                                                                                                                        NAME       tcpdump - dump traffic on a networkSYNOPSIS       tcpdump [
TCP三次握手tcpdump抓包
weixin_33910434的博客
03-19 355
1. TCP报文段的首部格式说明:ACK: TCP协议规定,只有ACK=1时有效,也规定连接建立后所有发送的报文的ACK必须为1SYN(SYNchronization) : 在连接建立时用来同步序号。当SYN=1而ACK=0时,表明这是一个连接请求报文。对方若同意建立连接,则应在响应报文中使SYN=1和ACK=1. 因此, SYN置1就表示这是一个连接请求或连接接受报文F...
linux下通过命令来观察TCP三次握手过程(数据包)
01-07
总结来说,理解TCP三次握手网络编程和系统管理员的基本技能。通过Linux的命令行工具,我们可以实时观察这一过程,从而更好地理解和调试网络问题。同时,了解服务器如Tomcat在处理并发连接时的行为,也有助于我们...
使用tcpdump分析TCP三次握手和四次挥手
CommanderZero的博客
10-11 1772
使用tcpdump分析TCP三次握手和四次挥手 自我感觉网络基础太薄弱了,最近打算恶补一下,先从TCP的建立连接和断开连接开始吧。 理论知识 从课本上我们都学过TCP建立连接的三次握手和断开连接的四次挥手,网络上相关的介绍博客也很多,推荐一个博客计算机之间是如何进行通信的?;详解三次握手和四次挥手,介绍得非常透彻易懂,感谢作者。 建立TCP server和client 使用python写了两个脚本:server.py和client.py,分别使用python socket实现TCP的server端和cli
TCP三次握手及四次挥手详细图解.docx
05-24
三次握手过程中,服务器发送 SYN-ACK 之后,收到客户端的 ACK 之前的 TCP 连接称为半连接(half-open connect)。此时服务器处于 Syn_RECV 状态。当收到 ACK 后,服务器转入 ESTABLISHED 状态。 Syn 攻击是一个...
TCP三次握手与四次挥手过程分析(理论+实践)
会飞的鱼的博客
06-11 1086
1、 前言   TCP协议(Transmission Control Protocol,传输控制协议),为应用层提供可靠的、面向连接的和基于流(stream)的服务。TCP协议使用超时重传、数据确认等方式来确保数据包正确地发送至目的端,因此TCP服务是可靠的   下面利用tcpdump来观察和分析TCP连接的建立与关闭过程。首先介绍测试环境:开启两台Linux虚拟机,然后将网络均连接到同一局域网...
linux 使用tcpdump 进行抓包分析
托塔天王的博客
07-01 326
在工作中,有些数据交互需要对数据交互进行抓包分析,这里将使用tcpdump 命令 简略命令如下 tcpdump -i <int> -w <path> host 参数说明 -i 指定抓包的网卡名称 -w 抓包存放的路径 host 对方服务器iip ...
tcpdump抓包实例演示三次握手,数据传输,四次挥手过程
qq_44231964的博客
01-20 988
使用tcpdump监听百度的主页,抓包分析数据传输的过程: 先看一个整体的过程,如图:这个是监听窗口 新开了一个终端去访问百度,可以在监听窗口发现传输的数据包: 下面分析一下监听窗口中的传输过程: 一、三次握手 第一次握手:这是内核发出的第一个握手的包,包的大小为0字节,(我给百度发的第一个包) 15:12:56.924926 IP 192.168.95.128.53032(我的主机53032这个端口) > 14.215.177.39.80:(百度的ip和端口) Flags [S], seq
linux抓包-tcpdump
小蔡的博客
01-05 3370
文章目录1.tcpdump简介2.tcpdump参数3.tcpdump过滤器4.tcpdump常用操作 1.tcpdump简介 tcpdumplinux平台的抓包工具,可以TCP/IP协议的数据包,网络协议,主机,端口,还提供and,or,not等逻辑语句过滤信息。 2.tcpdump参数 tcpdump帮助查看 tcpdump -h, man tcpdump [root@master ~]# tcpdump -h tcpdump version 4.9.2 libpcap version 1.5.3
通过tcpdump了解TCP连接建立三次握手的具体过程
Hide_on_code的博客
01-19 754
通过tcpdump了解TCP连接建立三次握手的具体过程 tcpdump简介 tcpdump采用命令行方式对接口的数据包进行筛选取,其丰富特性表现在灵活的表达式上。 tcpdump命令格式 tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ e...
linux抓包分析
二营长
07-19 2991
1.tcp包数据 tcpdump tcp -s 0 and host 10.10.10.10 -w /tmp/20180604-full.cap 简便解释一下:取10.10.10.10服务器上的tcp数据包,并存储到/tmp/20180604-full.cap文件里。 -s snaplen 设置tcpdump的数据包取长度为snaplen -w 将抓包数据写入到本...
Linux网络抓包工具——tcpdump详解
qq_42580553的博客
04-01 1424
第七列:数据包内容,包括Flags 标识符,seq 号,ack 号,win 窗口,数据长度 length,其中 [P.] 表示 PUSH 标志位为 1。tcpdumpLinux里的字符界面的数据抓包分析软件。tcpdump截取的包默认数据的头部,默认情况下,直接启动tcpdump将监听的是第一个网络接口上所有流过的数据包。src 00:0c:29:ae:89:5d :是指源mac地址为:00:0c:29:ae:89:5d。根据源ip抓包:需要两台虚拟机配合,虚拟机A去ping,虚拟机B去抓包
Linux命令行下利用tcpdump进行网络抓包分析
"这篇文章主要介绍了如何在Linux命令行中使用tcpdump这个强大的抓包工具来诊断和解决网络问题。tcpdump允许用户捕获并分析网络流量数据包,尤其适合在网络故障排查和安全监控中使用。它支持丰富的选项和过滤规则,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值