tcpdump抓包具体分析

Tcpdump抓包分析过程

 

一、TCP连接建立（三次握手）

过程

客户端A，服务器B，初始序号seq，确认号ack

初始状态：B处于监听状态，A处于打开状态

• A -> B : seq = x （A向B发送连接请求报文段，A进入同步发送状态SYN-SENT）

• B -> A : ack = x + 1,seq = y （B收到报文段，向A发送确认，B进入同步收到状态SYN-RCVD）

• A -> B : ack = y+1 （A收到B的确认后，再次确认，A进入连接状态ESTABLISHED）

连接后的状态：B收到A的确认后，进入连接状态ESTABLISHED

为什么要握手要三次

防止失效的连接请求突然传到服务器端，让服务器端误认为要建立连接。

二、TCP连接释放（四次挥手）

过程

A -> B : seq = u （A发出连接释放报文段，进入终止等待1状态FIN-WAIT-1）

B -> A : ack = u + 1,seq = v （B收到报文段，发出确认，TCP处于半关闭，B还可向A发数据，B进入关闭等待状态WAIT）

B -> A : ack = u + 1,seq = w （B重复发送确认号，进入最后确认状态LAST-ACK）

A -> B : ack = w + 1,seq = u + 1 （A发出确认，进入时间等待状态TIME-WAIT）

经过时间等待计时器设置的时间2MSL后，A才进入CLOSED状态

为什么A进入TIME-WAIT后必须等待2MSL

• 保证A发送的最后一个ACK报文段能达到B
• 防止失效的报文段出现在连接中

三、Tcpdump使用

tcpdump是对网络上的数据包进行截获的包分析工具，它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来去掉无用的信息。

监视指定主机的数据包

tcpdump host <IP地址>：截获该IP的主机收到的和发出的所有的数据包
tcpdump host <IP地址> and <IP地址>：截获两个IP对应主机之间的通信

监视指定端口的数据包

tcpdump port <端口号>：截获本机80端口的数据包

四、抓包分析握手过程

抓包方法：首先使用tcpdump命令截获本机与某远程主机的数据包，然后打开某远程主机对应的网站，这里用我的域名www.fonxian.cn来做试验。

ping www.baidu.com

得到域名对应的ip： 61.135.169.125

ifconfg

得到本机内网ip：10.128.10.24

-S 参数的目的是获得ack的绝对值，不加该参数，第三次握手的ack为相对值1

sudo tcpdump -S host 192.168.0.108 and 151.101.100.133

得到下图

其中

1 S 表示是SYN 标记 客户端正准备发起一个请求
2 客户端发送的seq=3481431827
3 表示服务器接收到客户端的请求 发给客户端 ack=34814318278 同时发送SYN=421177755
4 表示客户端接受到服务器的同意连接的请求 发送确认信息 ack=421177756
5 P 表示数据传输状态
6 F 表示连接开始断开的状态
7 表示客户端主动发起断开连接的请求 seq=3481432002, ack=421180537
8 服务端发起确认请求 ack=3481432003
9 表示服务端发起断开连接的请求 seq=421180537, ack=3481432003
10 表示客户端收到服务端发送的断开连接的请求 发送确认信息 ack=421180538