tcpdump linux 抓包 - 三次握手 四次挥手
前提:[*]1. linux环境
[*]2. 可正常使用tcpdump
[*]使用(node)serve -p 10005 启动一个前端
[*]前端存放一个静态1.txt文件,内容为test
模拟:在linux环境中启动一个应用,端口10005(目前是使用node 的 serve,创建1.txt文件,serve -p 10005 发布出来,通过 curl http://ip:10005/1.txt访问)
tcpdump测试命令:
tcpdump -i any host **.***.**.** and port 10005 -S解释:使用tcptump时,默认在第三次握手时,会使用相对序列号,加上 -S,即可禁用相对序列号
新开窗口,执行
curl http://**.***.**.***:10005/1.txt命令返回结果:
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
15:26:32.268914 IP 主机名.34206 > 主机名.目标服务名: Flags , seq 4218104573, win 65495, options , length 0
15:26:32.268924 IP 主机名.目标服务名 > 主机名.34206: Flags , seq 3712382854, ack 4218104574, win 65483, options , length 0
15:26:32.268930 IP 主机名.34206 > 主机名.目标服务名: Flags [.], ack 3712382855, win 512, options , length 0
15:26:32.268954 IP 主机名.34206 > 主机名.目标服务名: Flags , seq 4218104574:4218104662, ack 3712382855, win 512, options , length 88
15:26:32.270232 IP 主机名.目标服务名 > 主机名.34206: Flags , seq 3712382855:3712383164, ack 4218104662, win 512, options , length 309
15:26:32.270239 IP 主机名.34206 > 主机名.目标服务名: Flags [.], ack 3712383164, win 510, options , length 0
15:26:32.270284 IP 主机名.34206 > 主机名.目标服务名: Flags , seq 4218104662, ack 3712383164, win 512, options , length 0
15:26:32.270504 IP 主机名.目标服务名 > 主机名.34206: Flags , seq 3712383164, ack 4218104663, win 512, options , length 0
15:26:32.270512 IP 主机名.34206 > 主机名.目标服务名: Flags [.], ack 3712383165, win 512, options , length 0前三行可忽略
dropped privs to tcpdump:权限降级(从 root 权限降级到tcpdump 用户权限,减少安全风险,即使 tcpdump 被攻击,攻击者也只能获得有限权限)tcpdump: verbose output suppressed, use -v or -vv for full protocol decode:提示当前 tcpdump 只显示基本信息以提高性能,并未输出详细信息,使用-v,-vv可输出完整信息listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes:监听所有网络接口,链路类型为 Linux cooked v1 格式,每个数据包捕获的最大字节数(256KB)(262144/1024 = 256) 第四行开始,三次握手开始:
Client端 Server端SYN标志位,seq=4218104573->
中间是发送数据
Client端 Server端 PUSH标志位,ACK标志位,seq:4218104574:4218104662,88字节
(请求信息)-> Client端向Server端发送数据,TCP载荷部分(88字节):
GET /1.txt HTTP/1.1\r\n (21 bytes)
Host: **.***.**.***:10005\r\n (29 bytes)
User-Agent: curl/7.61.1\r\n (25 bytes)
Accept: */*\r\n (13 bytes)Server端回复数据,TCP载荷部分(309字节):
HTTP/1.1 200 OK\r\n (17 bytes)
Content-Length: 4\r\n (19 bytes)
Content-Disposition: inline; filename="1.txt"\r\n (47 bytes)
Accept-Ranges: bytes\r\n (22 bytes)
ETag: "efd2d032d82a6f34d448f5124fbe835d598f3b5b"\r\n (50 bytes)
Content-Type: text/plain; charset=utf-8\r\n (41 bytes)
Vary: Accept-Encoding\r\n (23 bytes)
Date: Tue, 19 Aug 2025 02:42:03 GMT\r\n (37 bytes)
Connection: keep-alive\r\n (24 bytes)
Keep-Alive: timeout=5\r\n (23 bytes)
\r\n (2 bytes)
test (4 bytes)第10行开始,四次挥手开始(TCP协议的优化机制,合并挥手)
Client端 Server端 FIN标志位,ACK标志位,seq=4218104662, ack=3712383164
(第一次挥手 - 客户端主动发起关闭连接请求
【TCP FIN包通常会包含ACK标志来确认对方的数据】)-> server,所以没有server回复的时间戳值,此时为默认值0】 No Operation(无操作)【填充字段,用于对齐选项,无意义】 Window Scale(窗口缩放因子)7(表示窗口大小乘以 2^7 = 128)【扩展窗口大小,支持更大的接收窗口】 ]</p>
标志全称含义十六进制值作用SSYNSynchronize0x02建立连接(三次握手开始)FFINFinish0x01释放连接(正常关闭)RRSTReset0x04强制断开连接(异常关闭)PPSHPush0x08推送数据(立即传送).ACKAcknowledge0x10确认收到数据UURGUrgent0x20紧急指针有效
标志组合含义典型场景SYN连接请求(第一次握手)SYN-ACK连接确认(第二次握手)[.]ACK确认包(第三次握手完成)PSH-ACK推送数据包FIN-ACK连接终止请求RST连接重置RST-ACK带确认的连接重置注意:
1. 第三次握手时,与网上一些博客不一样(第一次是seq=x,第二次seq=y,第三次是seq=x+1)原因是因为,在第三次握手时,客户端发送的是一个纯 ACK 包,不携带任何数据,因此它的序列号不会递增
2. 第一次挥手时,与网上一些博客不一样(第一次挥手发送FIN),当发送FIN包时,必须同时确认之前接收到的数据,(TCP协议的规范要求),确保连接状态的一致性。即使之前已经发送过ACK,FIN包中仍需要包含最新的确认信息3. 目标服务名:使用10005端口启动的应用,在tcpdump中默认显示的不是端口,是服务名,比如其为***,那么如何根据***找到其对应的端口?15:26:32.268914 IP 主机名.34206 > 主机名.目标服务名: Flags , seq 4218104573, win 65495, options , length 04. 34206端口:临时端口(Linux系统通常将 32768-60999 或 32768-65535 范围内的端口作为临时端口),当客户端发起TCP连接时,操作系统会自动分配一个未被使用的临时端口,标识客户端的特定连接。每个新的TCP连接都会分配不同的临时端口
来源:豆瓜网用户自行投稿发布,如果侵权,请联系站长删除
页:
[1]