tcpdump 之 arp请求,tcp的3次握手,4次断开,详解

一:环境说明:

1,my_recoder.tcpdump是我在服务器端抓包的文件

2,在这里,只显示与11.11.11.6主机相关的所有信息:

3,网络模型:同一个局域网

4,11.11.11.6 是客户机

5,11.11.11.8 是服务器

6,11.11.11.11 是网关



二:tcpdump抓包信息

[email protected]:~# tcpdump -r my_recoder.tcpdump -n  host 11.11.11.6 

17:11:09.373704 ARP, Request who-has 11.11.11.8 tell 11.11.11.6, length 46
17:11:09.374536 ARP, Reply 11.11.11.8 is-at 00:0c:29:ed:22:c1, length 28
17:11:15.613318 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [S], seq 3706370055, win 14600, options [mss 1460,sackOK,TS val 38898 ecr 0,nop,wscale 7], length 0
17:11:15.613344 IP 11.11.11.8.22 > 11.11.11.6.35065: Flags [S.], seq 2580729023, ack 3706370056, win 28960, options [mss 1460,sackOK,TS val 5307525 ecr 38898,nop,wscale 7], length 0
17:11:15.613637 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [.], ack 1, win 115, options [nop,nop,TS val 38899 ecr 5307525], length 0
17:11:15.623865 IP 11.11.11.8.22 > 11.11.11.6.35065: Flags [P.], seq 1:42, ack 1, win 227, options [nop,nop,TS val 5307527 ecr 38899], length 41
17:11:15.624167 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [.], ack 42, win 115, options [nop,nop,TS val 38909 ecr 5307527], length 0
17:11:15.624434 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [P.], seq 1:22, ack 42, win 115, options [nop,nop,TS val 38909 ecr 5307527], length 21
17:11:15.624470 IP 11.11.11.8.22 > 11.11.11.6.35065: Flags [.], ack 22, win 227, options [nop,nop,TS val 5307527 ecr 38909], length 0
17:11:15.624647 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [P.], seq 22:982, ack 42, win 115, options [nop,nop,TS val 38909 ecr 5307527], length 960
17:11:15.624657 IP 11.11.11.8.22 > 11.11.11.6.35065: Flags [.], ack 982, win 242, options [nop,nop,TS val 5307527 ecr 38909], length 0
17:11:15.625277 IP 11.11.11.8.22 > 11.11.11.6.35065: Flags [P.], seq 42:1690, ack 982, win 242, options [nop,nop,TS val 5307528 ecr 38909], length 1648
17:11:15.626013 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [.], ack 1690, win 137, options [nop,nop,TS val 38911 ecr 5307528], length 0
17:11:15.626031 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [P.], seq 982:1006, ack 1690, win 137, options [nop,nop,TS val 38911 ecr 5307528], length 24
17:11:15.627834 IP 11.11.11.8.22 > 11.11.11.6.35065: Flags [P.], seq 1690:1842, ack 1006, win 242, options [nop,nop,TS val 5307528 ecr 38911], length 152
17:11:15.628570 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [P.], seq 1006:1150, ack 1842, win 160, options [nop,nop,TS val 38914 ecr 5307528], length 144
......省略一大堆类似上面这样的数据报文:
17:11:20.344004 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [F.], seq 2430, ack 4178, win 228, options [nop,nop,TS val 43628 ecr 5308707], length 0
17:11:20.344225 IP 11.11.11.8.22 > 11.11.11.6.35065: Flags [.], ack 2431, win 302, options [nop,nop,TS val 5308707 ecr 43628], length 0
17:11:20.423528 IP 11.11.11.8.22 > 11.11.11.6.35065: Flags [F.], seq 4178, ack 2431, win 302, options [nop,nop,TS val 5308727 ecr 43628], length 0
17:11:20.423826 IP 11.11.11.6.35065 > 11.11.11.8.22: Flags [.], ack 4179, win 228, options [nop,nop,TS val 43710 ecr 5308727], length 0
[email protected]:~#

三:客户端的操作信息:

[[email protected] ~]# ssh [email protected]
[email protected]‘s password: 
[email protected]:~$ logout
Connection to 11.11.11.8 closed.
[[email protected] ~]# netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 11.11.11.6:35066            11.11.11.8:22               TIME_WAIT   
[[email protected] ~]#

四:tcpdump,Flags含义说明:

S(SYN)

F(FIN)

P(PUSH)

R(RST)

U(URG)

W(ECN CWR)

E ECN-Echo) or `.‘ (ACK), or `none‘ if no flags are set. 

五:报头分析:

一,建立ARP请求:

服务器11.11.11.8端收到arp请求广播包,回应客户端11.11.11.8自己的MAC地址

二,3次握手:

1,客户端11.11.11.6向服务端11.11.11.8发出SYN,并告知自己的窗口大小和每次能接受数据包的大小


2,服务端11.11.11.8向客户端11.11.11.6会有ACK并发出SYN,并告知自己的窗口大小和每次能接受数据包的大小


3,客户端11.11.11.6向服务端11.11.11.8发送ACK.

三,数据互传

从17:11:15.613637秒就开始互传数据了.

四,4次断开(情景--客户端主动请求关闭)

客户端11.11.11.6向服务端11.11.11.8发出FIN

服务端11.11.11.8向客户端11.11.11.6发出ACK

服务端11.11.11.8向客户端11.11.11.6发出FIN

客户端11.11.11.6向服务端11.11.11.8发出ACK

客户端11.11.11.6:35066端口,转换TIME_WAIT状态

本文谢绝转载原文来自http://990487026.blog.51cto.com

时间: 2024-12-29 11:57:41

tcpdump 之 arp请求,tcp的3次握手,4次断开,详解的相关文章

wireshark抓包图解-tcp三次握手四次挥手详解/

http://www.seanyxie.com/wireshark%E6%8A%93%E5%8C%85%E5%9B%BE%E8%A7%A3-tcp%E4%B8%89%E6%AC%A1%E6%8F%A1%E6%89%8B%E5%9B%9B%E6%AC%A1%E6%8C%A5%E6%89%8B%E8%AF%A6%E8%A7%A3/ wireshark抓包图解-tcp三次握手四次挥手详解/ tcpdump抓包命令使用方法及内容解析/

TCP三次握手/四次挥手详解

TCP三次握手/四次挥手详解 TCP(Transmission Control Protocol) 传输控制协议 TCP是主机对主机层的传输控制协议,提供可靠的连接服务,采用三次握手确认建立一个连接: 位码即tcp标志位,有6种标示: SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急) Sequence number(顺序号码) Acknowledge

wireshark抓包图解 TCP三次握手/四次挥手详解

wireshark抓到的包与对应的协议层如下图所示: 1. Frame:   物理层的数据帧概况 2. Ethernet II: 数据链路层以太网帧头部信息 3. Internet Protocol Version 4: 互联网层IP包头部信息 4. Transmission Control Protocol:  传输层的数据段头部信息,此处是TCP 5. Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议 1. 源端口号:数据发起者的端口号,16bit

TCP的三次握手四次断开

TCP是一个面向连接的服务,面向连接的服务是电话系统服务模式的抽象,每一次完整的数据传输都必须经过建立连接,数据传输和终止连接3个过程,建立TCP需要三次握手才能建立,而断开连接则需要四次握手.整个过程如下图所示: TCP三次握手过程 1 主机A通过向主机B 发送一个含有同步序列号的标志位的数据段给主机B ,向主机B 请求建立连接,通过这个数据段,主机A告诉主机B 两件事:我想要和你通信;你可以用哪个序列号作为起始数据段来回应我.2 主机B 收到主机A的请求后,用一个带有确认应答(ACK)和同步

TCP协议: SYN ACK FIN RST PSH URG 详解

TCP的三次握手是怎么进行的了:发送端发送一个SYN=1,ACK=0标志的数据包给接收端,请求进行连接,这是第一次握手:接收端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让发送端发送一个确认数据包,这是第二次握手:最后,发送端发送一个SYN=0,ACK=1的数据包给接收端,告诉它连接已被确认,这就是第三次握手.之后,一个TCP连接建立,开始通讯. *SYN:同步标志同步序列编号(Synchronize Sequence Numbers

TCP/IP协议之三次握手、四次断开详解

TCP三次握手详细介绍 1.TCP/IP协议简单介绍: TCP/IP是一个协议族,通常分不同层次进行工作,每个层次负责不同的通信功能.包含以下四个层次: 应用层:(http.telnet.Email.dns等协议) 传输层:(tcp和udp) 网络层:(ip.icmp.rarp.bootp) 链路层:(设备驱动程序及接口卡) 1).链路层,也称作数据链路层或者网络接口层,通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡.它们一起处理与电缆(或其他任何传输媒介)的物理接口细节. 2).网

TCP/IP 三次握手 四次断开

所谓的三次握手,就是指客户端和服务器端建立 TCP 连接.访问过程中会发送三个包来确认,并建立连接. 第一步:客户端会发送请求包,包内包含 SYN 信号,SYN 标记位置为1(还可以是其他的位置),并且随机产生一个随机值 seq(用来后面的检验),将这些发送给服务端. 第二步:服务端收到 SYN 信号后,会发送一个确认信息给客户端,包内包含 SYN 的标志位 SYN=1 ,以及确认标志位 ACK=1 ,检验位 ack=J+1(客户端发送的随机数+1),本机生成的随机数 seq=K. 第三步:客户

wireshark抓包直观图解 TCP三次握手/四次挥手详解

转http://www.seanyxie.com/category/linux/ 作者:seanyxie | 一. TCP/IP协议族 TCP/IP是一个协议族,通常分不同层次进行开发,每个层次负责不同的通信功能.包含以下四个层次: 1. 链路层,也称作数据链路层或者网络接口层,通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡.它们一起处理与电缆(或其他任何传输媒介)的物理接口细节. 2. 网络层,也称作互联网层,处理分组在网络中的活动,例如分组的选路.网络层协议包括IP协议(网际协议

TCP三次握手四次挥手详解

部分转载,讲的很好 转载自此处 为什么需要"三次握手" 在谢希仁著<计算机网络>第四版中讲"三次握手"的目的是"为了防止已失效的连接请求报文段突然又传送到了服务端,因而产生错误".在另一部经典的<计算机网络>一书中讲"三次握手"的目的是为了解决"网络中存在延迟的重复分组"的问题.这两种不用的表述其实阐明的是同一个问题. 谢希仁版<计算机网络>中的例子是这样的,"