TCP 包分析

http://blog.chinaunix.net/uid-29056899-id-4206568.html

http://blog.csdn.net/gatieme/article/details/50827776

http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

1生棍、TCP中的Flag標(biāo)志

* F : FIN - 結(jié)束; 結(jié)束會(huì)話

* S : SYN - 同步; 表示開始會(huì)話請(qǐng)求

* R : RST - 復(fù)位;中斷一個(gè)連接

* P : PUSH - 推送; 數(shù)據(jù)包立即發(fā)送

* A : ACK - 應(yīng)答

* U : URG - 緊急

* E : ECE - 顯式擁塞提醒回應(yīng)

* W : CWR - 擁塞窗口減少

2、TCP三次握手建立鏈接

2.1 客戶端發(fā)送Sync同步包給服務(wù)端网沾;2.1服務(wù)端發(fā)送確認(rèn)包同時(shí)發(fā)送同步信息給客戶端癞谒;2.2客戶端發(fā)送確認(rèn)


3也祠、TCP四次揮手?jǐn)嚅_鏈接

3.1 客戶端發(fā)送關(guān)閉連接請(qǐng)求 3.2服務(wù)端發(fā)送Ack ?3.3 服務(wù)端發(fā)送關(guān)閉連接請(qǐng)求 3.4 客戶端發(fā)送Ack停蕉。

建立連接的時(shí)候本質(zhì)上也是四個(gè)回合鹉胖,只是服務(wù)端發(fā)送同步和Ack任何情況下都可以整合成一次包發(fā)送芬膝。

斷開連接普遍情況是四個(gè)回合,因?yàn)門CP是雙向連接的篮迎,一端主動(dòng)關(guān)閉只是關(guān)閉單向的男图。特殊情況下示姿,斷開連接也可能只要三個(gè)回合,

主要取決于上層應(yīng)用逊笆。如果服務(wù)端收到對(duì)端關(guān)閉后栈戳,也馬上關(guān)閉本端連接的話,這種情況只需要三次回合难裆。

4子檀、linux系統(tǒng)中分析TCP包

用命令字 tcpdump -i any tcp and port 9200 (-xlnnps0 打印詳細(xì)的報(bào)文信息)

每天信息都會(huì)有 sorhost.port > dsthost.port Flags[S].?

sorHost.port: 數(shù)據(jù)源

dstHost.port:數(shù)據(jù)目的

Flags[s]: flag表示類別和TCP協(xié)議包的Flag差不多[看本文的開始部分]。但是還有一點(diǎn)點(diǎn)區(qū)別乃戈,如果是Ack報(bào)文褂痰,F(xiàn)lag并沒(méi)有用A表示,而是在隨后內(nèi)容中添加ack症虑。

seq:報(bào)文的序列號(hào)缩歪。同步報(bào)文用掉一個(gè)序列號(hào)。數(shù)據(jù)報(bào)文是個(gè)區(qū)間 [start谍憔,end)匪蝙,包括起始序列號(hào),但是不包括結(jié)束序列號(hào)习贫。

win(接收緩沖端口): 和接收端的處理能力有關(guān)

mss(Max Segment Size):和網(wǎng)絡(luò)的最大發(fā)包長(zhǎng)度有關(guān)骗污。以太網(wǎng)的MTU是1500,減去IP和TCP頭部沈条,最大報(bào)文長(zhǎng)度MSS1460

listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes

20:24:51.342231 IP 10.100.64.26.49505 > 10.50.114.116.wap-wsp: Flags [S], seq 3647486953, win 14280, options [mss 1428,sackOK,TS val 1240102593 ecr 0,nop,wscale 8], length 0

20:24:51.373773 IP 10.50.114.116.wap-wsp > 10.100.64.26.49505: Flags [S.], seq 77175520, ack 3647486954, win 14480, options [mss 1460,sackOK,TS val 133441597 ecr 1240102593,nop,wscale 8], length 0

20:24:51.373790 IP 10.100.64.26.49505 > 10.50.114.116.wap-wsp: Flags [.], ack 1, win 56, options [nop,nop,TS val 1240102601 ecr 133441597], length 0

20:24:51.373811 IP 10.100.64.26.49505 > 10.50.114.116.wap-wsp: Flags [P.], seq 1:166, ack 1, win 56, options [nop,nop,TS val 1240102601 ecr 133441597], length 165

20:24:51.405313 IP 10.50.114.116.wap-wsp > 10.100.64.26.49505: Flags [.], ack 166, win 61, options [nop,nop,TS val 133441605 ecr 1240102601], length 0

20:24:51.405906 IP 10.50.114.116.wap-wsp > 10.100.64.26.49505: Flags [P.], seq 1:147, ack 166, win 61, options [nop,nop,TS val 133441605 ecr 1240102601], length 146

20:24:51.405923 IP 10.100.64.26.49505 > 10.50.114.116.wap-wsp: Flags [.], ack 147, win 60, options [nop,nop,TS val 1240102609 ecr 133441605], length 0

20:29:00.209639 IP 10.100.64.26.49505 > 10.50.114.116.wap-wsp: Flags [F.], seq 3647487119, ack 77175667, win 60, options [nop,nop,TS val 1240164810 ecr 133441605], length 0

20:29:00.241201 IP 10.50.114.116.wap-wsp > 10.100.64.26.49505: Flags [F.], seq 1, ack 1, win 61, options [nop,nop,TS val 133503812 ecr 1240164810], length 0

20:29:00.241212 IP 10.100.64.26.49505 > 10.50.114.116.wap-wsp: Flags [.], ack 2, win 60, options [nop,nop,TS val 1240164817 ecr 133503812], length 0

20:30:13.882430 IP 10.100.64.26.49695 > 10.50.114.116.wap-wsp: Flags [S], seq 3314501555, win 14280, options [mss 1428,sackOK,TS val 1240183228 ecr 0,nop,wscale 8], length 0

20:30:13.914539 IP 10.50.114.116.wap-wsp > 10.100.64.26.49695: Flags [S.], seq 3151585407, ack 3314501556, win 14480, options [mss 1460,sackOK,TS val 133522230 ecr 1240183228,nop,wscale 8], length 0

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末需忿,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子蜡歹,更是在濱河造成了極大的恐慌屋厘,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,743評(píng)論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件月而,死亡現(xiàn)場(chǎng)離奇詭異汗洒,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)父款,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評(píng)論 3 385
  • 文/潘曉璐 我一進(jìn)店門溢谤,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人憨攒,你說(shuō)我怎么就攤上這事世杀。” “怎么了肝集?”我有些...
    開封第一講書人閱讀 157,285評(píng)論 0 348
  • 文/不壞的土叔 我叫張陵瞻坝,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我杏瞻,道長(zhǎng)所刀,這世上最難降的妖魔是什么衙荐? 我笑而不...
    開封第一講書人閱讀 56,485評(píng)論 1 283
  • 正文 為了忘掉前任,我火速辦了婚禮浮创,結(jié)果婚禮上忧吟,老公的妹妹穿的比我還像新娘。我一直安慰自己斩披,他們只是感情好瀑罗,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,581評(píng)論 6 386
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著雏掠,像睡著了一般。 火紅的嫁衣襯著肌膚如雪劣像。 梳的紋絲不亂的頭發(fā)上乡话,一...
    開封第一講書人閱讀 49,821評(píng)論 1 290
  • 那天,我揣著相機(jī)與錄音耳奕,去河邊找鬼绑青。 笑死,一個(gè)胖子當(dāng)著我的面吹牛屋群,可吹牛的內(nèi)容都是我干的闸婴。 我是一名探鬼主播,決...
    沈念sama閱讀 38,960評(píng)論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼芍躏,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼邪乍!你這毒婦竟也來(lái)了?” 一聲冷哼從身側(cè)響起对竣,我...
    開封第一講書人閱讀 37,719評(píng)論 0 266
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤庇楞,失蹤者是張志新(化名)和其女友劉穎,沒(méi)想到半個(gè)月后否纬,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體吕晌,經(jīng)...
    沈念sama閱讀 44,186評(píng)論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,516評(píng)論 2 327
  • 正文 我和宋清朗相戀三年临燃,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了睛驳。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 38,650評(píng)論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡膜廊,死狀恐怖乏沸,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情爪瓜,我是刑警寧澤屎蜓,帶...
    沈念sama閱讀 34,329評(píng)論 4 330
  • 正文 年R本政府宣布,位于F島的核電站钥勋,受9級(jí)特大地震影響炬转,放射性物質(zhì)發(fā)生泄漏辆苔。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,936評(píng)論 3 313
  • 文/蒙蒙 一扼劈、第九天 我趴在偏房一處隱蔽的房頂上張望驻啤。 院中可真熱鬧,春花似錦荐吵、人聲如沸骑冗。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評(píng)論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)贼涩。三九已至,卻和暖如春薯蝎,著一層夾襖步出監(jiān)牢的瞬間遥倦,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評(píng)論 1 266
  • 我被黑心中介騙來(lái)泰國(guó)打工占锯, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留袒哥,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 46,370評(píng)論 2 360
  • 正文 我出身青樓消略,卻偏偏與公主長(zhǎng)得像堡称,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子艺演,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,527評(píng)論 2 349

推薦閱讀更多精彩內(nèi)容

  • 個(gè)人認(rèn)為却紧,Goodboy1881先生的TCP /IP 協(xié)議詳解學(xué)習(xí)博客系列博客是一部非常精彩的學(xué)習(xí)筆記,這雖然只是...
    貳零壹柒_fc10閱讀 5,051評(píng)論 0 8
  • 1.這篇文章不是本人原創(chuàng)的胎撤,只是個(gè)人為了對(duì)這部分知識(shí)做一個(gè)整理和系統(tǒng)的輸出而編輯成的啄寡,在此鄭重地向本文所引用文章的...
    SOMCENT閱讀 13,051評(píng)論 6 174
  • 1、TCP狀態(tài)linux查看tcp的狀態(tài)命令:1)哩照、netstat -nat 查看TCP各個(gè)狀態(tài)的數(shù)量2)挺物、lso...
    北辰青閱讀 9,412評(píng)論 0 11
  • 傳輸層-TCP, TCP頭部結(jié)構(gòu) 飘弧,TCP序列號(hào)和確認(rèn)號(hào)詳解 TCP主要解決下面的三個(gè)問(wèn)題 1.數(shù)據(jù)的可靠傳輸...
    抓兔子的貓閱讀 4,512評(píng)論 1 46
  • 簡(jiǎn)介 傳輸控制協(xié)議TCP(Transmission Control Protocol)[RFC 768]识藤、 TCP...
    巫師學(xué)徒閱讀 422評(píng)論 0 1