TCP协议三次握手和四次挥手抓包分析
1、TCP数据段格式
注
ACK : TCP协议规定,只有ACK=1时有效,也规定连接建立后所有发送的报文的ACK必须为1
SYN(SYNchronization) :在连接建立时用来同步序号。当SYN=1而ACK=0时,表明这是一个连接请求报文。对方若同意建立连接,则应在响应报文中使SYN=1和ACK=1. 因此, SYN置1就表示这是一个连接请求或连接接受报文。
synchronization [ˌsɪŋkrənaɪ'zeɪʃn] 同步
FIN (finis)即完,终结的意思,用来释放一个连接。当 FIN = 1 时,表明此报文段的发送方的数据已经发送完毕,并要求释放连接。
finis ['faɪnɪs] 终结
2、三次握手连接
注
1.连接开始时,连接建立方(Client)发送SYN包,并包含了自己的初始序号x;
2.连接接受方(Server)收到SYN包以后会回复一个SYN包,其中包含了对上一个x包
的回应信息ACK,回应的序号为下一个希望收到包的序号,即x+1,然后还包含
了自己的初始序号y;
3.连接建立方(Client)收到回应的SYN包以后,回复一个ACK包做响应,其中包含了下一个希望收到包的序号即y+1。
3、断开tcp连接时的4次挥手整体过程
注
1.当客户A没有东西要发送时就要释放A这边的连接,A会发送一个报文(没有数据),其中FIN设置为1, seq=u。
2.服务器B收到后会给应用程序一个信,这时A那边的连接已经关闭,即A不再发送信息(但仍可接收信息)。B会发送收一个报文,其中FIN设置为1, ack=u+1;A收到B的确认包后,进入等待状态,等待B请求释放连接。
3.服务器B向客户A发送断开连接请求,包中FIN=1,seq=w,ack = u+1。
4.A收到后回复一个确认信息,发送包,ack=w+1,并进入TIME_WAIT状态。
4、使用tcpdump抓包查看tcp三次握手过程
4.1建立连接
[root@docker-01 ~]# yum install tcpdump
[root@docker-01 ~]# ssh root@172.17.2.25
The authenticity of host '172.17.2.25 (172.17.2.25)'can't be established.
RSA key fingerprint is SHA256:TL1e8gsDl+uD+crlcfs29HkPbdQih4zzse6/Z0k3lFg.
RSA key fingerprint is MD5:5a:05:f9:bb:02:3d:05:55:cd:9a:14:0d:07:33:47:39.
Are you sure you want to continue connecting (yes/no)? ###到这里就不用执行了,tcp已经建议连接4.2查看数据包
[root@docker-01 ~]# tcpdump -i eth0 -vn -t tcp port 22
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144bytes
IP (tos 0x12,ECT(0), ttl 64, id 4546, offset 0, flags [DF], proto TCP (6), length 164)
172.17.120.50.ssh > 192.168.255.27.49589: Flags [P.], cksum 0xe49e (incorrect -> 0x05ea), seq 1290388542:1290388666, ack 1470871262, win 77, length 124
IP (tos 0x12,ECT(0), ttl 64, id 4547, offset 0, flags [DF], proto TCP (6), length 324)
##如果需要看绝对序号,可以在tcpdump命令中加-S
[root@docker-01 ~]# tcpdump port 22 -c 3 -n -S
tcpdump: verbose output suppressed, use -vor -vvforfull protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144bytes
07:17:20.781294 IP 172.17.120.50.ssh > 192.168.255.27.49589: Flags [P.], seq 1290663038:1290663226, ack 1470872398, win 77, length 188
07:17:20.781489 IP 172.17.120.50.ssh > 192.168.255.27.49589: Flags [P.], seq 1290663226:1290663398, ack 1470872398, win 77, length 172
07:17:20.781565 IP 172.17.120.50.ssh > 192.168.255.27.49589: Flags [P.], seq 1290663398:1290663570, ack 1470872398, win 77, length 172
3packets captured
3packets received by filter
0packets dropped by kernel5、使用tcpdum抓取4次挥手数据包
[root@docker-02 ~]# tcpdump port 22 -n -S
##只看最后4个包就可以了
17:29:31.709503 IP 172.17.120.51.57533 > 192.168.255.27.ssh: Flags [F.], seq 2176876951, ack 247624733, win 164, options [nop,nop,TS val 10421058ecr 9186853], length 0
17:29:31.710515 IP 172.17.120.51.ssh > 192.168.255.27.57533: Flags [.], ack 2176876952, win 175, options [nop,nop,TS val 9186854ecr 10421058], length 0
17:29:31.743381 IP 172.17.120.51.ssh > 192.168.255.27.57533: Flags [F.], seq 247624733, ack 2176876952, win 175, options [nop,nop,TS val 9186858ecr 10421058], length 0
17:29:31.743433 IP 172.17.120.51.57533 > 192.168.255.27.ssh: Flags [.], ack 247624734, win 164, options [nop,nop,TS val 10421092ecr 9186858], length 0本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-10-30,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读