tcpdump抓包具体分析

一、tcp连接建立（三次握手）

过程

客户端a，服务器b，初始序号seq，确认号ack

初始状态：b处于监听状态，a处于打开状态

• a -> b : seq = x （a向b发送连接请求报文段，a进入同步发送状态syn-sent）

• b -> a : ack = x + 1,seq = y （b收到报文段，向a发送确认，b进入同步收到状态syn-rcvd）

• a -> b : ack = y+1 （a收到b的确认后，再次确认，a进入连接状态established）

连接后的状态：b收到a的确认后，进入连接状态established

为什么要握手要三次

防止失效的连接请求突然传到服务器端，让服务器端误认为要建立连接。

二、tcp连接释放（四次挥手）

过程

a -> b : seq = u （a发出连接释放报文段，进入终止等待1状态fin-wait-1）

b -> a : ack = u + 1,seq = v （b收到报文段，发出确认，tcp处于半关闭，b还可向a发数据，b进入关闭等待状态wait）

b -> a : ack = u + 1,seq = w （b重复发送确认号，进入最后确认状态last-ack）

a -> b : ack = w + 1,seq = u + 1 （a发出确认，进入时间等待状态time-wait）

经过时间等待计时器设置的时间2msl后，a才进入closed状态

为什么a进入time-wait后必须等待2msl

• 保证a发送的最后一个ack报文段能达到b
• 防止失效的报文段出现在连接中

三、tcpdump使用

tcpdump是对网络上的数据包进行截获的包分析工具，它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来去掉无用的信息。

监视指定主机的数据包

tcpdump host <ip地址>：截获该ip的主机收到的和发出的所有的数据包
tcpdump host <ip地址> and <ip地址>：截获两个ip对应主机之间的通信

监视指定端口的数据包

tcpdump port <端口号>：截获本机80端口的数据包

四、抓包分析握手过程

抓包方法：首先使用tcpdump命令截获本机与某远程主机的数据包，然后打开某远程主机对应的网站，这里用我的域名www.fonxian.cn来做试验。

ping www.baidu.com

得到域名对应的ip： 61.135.169.125

ifconfg

得到本机内网ip：10.128.10.24

-s 参数的目的是获得ack的绝对值，不加该参数，第三次握手的ack为相对值1

sudo tcpdump -s host 192.168.0.108 and 151.101.100.133

得到下图

其中 

1 s 表示是syn 标记 客户端正准备发起一个请求
2 客户端发送的seq=3481431827
3 表示服务器接收到客户端的请求 发给客户端 ack=34814318278 同时发送syn=421177755
4 表示客户端接受到服务器的同意连接的请求 发送确认信息 ack=421177756
5 p 表示数据传输状态
6 f 表示连接开始断开的状态
7 表示客户端主动发起断开连接的请求 seq=3481432002, ack=421180537
8 服务端发起确认请求 ack=3481432003
9 表示服务端发起断开连接的请求 seq=421180537, ack=3481432003
10 表示客户端收到服务端发送的断开连接的请求 发送确认信息 ack=421180538