tcpdump命令只能抓到3次挥手

最新推荐文章于 2024-11-24 09:33:22 发布
原创 最新推荐文章于 2024-11-24 09:33:22 发布 · 742 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #网络 #socket #tcpdump #tcpip

本文探讨了TCP连接断开过程中的现象,通常认为需要四次挥手,但在实际捕获的数据包中仅发现三次交互。通过深入分析TCP状态转换及数据包字段,揭示了这一现象背后的原因。

        用了个两个Linux系统一个是服务器端,一个是客户端,并用tcpdump命令抓取数据包,查看两台机器用tcp协议进行连接和断开时的ip数据包,在查看连接建立的过程中是有3次握手,这个是正常的,但是再看连接断开时,却发现了问题,并没有传说中的4次挥手,反而只有3个数据包,无论是在客户端,还是服务器端,抓到的断开数据包只有三个,难道是tcp协议和实现还不一样吗?网上扑天盖地的全是4次挥手,而且大家都好像确信抓到4个数据包,难道在我这里出现了问题,还是我的抓取方式有问题,百思不得其解啊。。。

 

     

        最后原因找来找去,查到的认为可能的原因是服务器收到FIN数据包后, 调用close函数时, 清空socket缓存里的数据包,其中也包括服务器发出的ACK包,而且速度太快了,数据包存在时间太短了,结果导到这个数据包没有被tcpdump抓到,但是如果是这个原因的话,那应该在客户端会抓到断开的4个数据包,但是我在客户端和服务端都只抓到3个连接断开的数据包,后来分析TCP状态图,结合TCP包的数据字段分析终于找到原因了.

        可以看到TCP状态图中,客户端发送FIN 数据包给服务器就由ESTABLISHED状态进入到FIN_WAIT_1状态,如果此时收到服务器发送过来的FIN+ACK消息,将直接进入TIME_WAIT状态,这个时候客户端不用进入FIN_WAIT_2状态,断开连接的过程只用3个数据包就可以完成了。

        我们再来分析下tcpdump打印的数据包,看看是否收到了服务端发送的FIN+ACK消息,如果收到了,就证明实际上断开连接收发三个数据包就能完成,先看看TCP头部字段的

数据结构:

    

  

       

        可以看到上图红框中数据 8011 转成2进制就是  1000000000010001 ,很明显看到ACK和FIN字段就被设置了,所以这条消息就是状态图中服务端发送的FIN + ACK消息,直接让客户端进入到TIME_WAIT状态,此时看到的断开连接的数据包只有3个,而不是4个,也就不并是传说中的 “4次挥手了”。

       大家如果也碰到这种类似的情况也可以一起讨论下原因。

 

 

使用tcpdump分析TCP三次握手和四挥手
CommanderZero的博客
10-11 1959
使用tcpdump分析TCP三次握手和四挥手 自我感觉网络基础太薄弱了,最近打算恶补一下,先从TCP的建立连接和断开连接开始吧。 理论知识 从课本上我们都学过TCP建立连接的三次握手断开连接的四挥手网络上相关的介绍博客也很多,推荐一个博客计算机之间是如何进行通信的?;详解三次握手和四挥手,介绍得非常透彻易懂,感谢作者。 建立TCP server和client 使用python写了两个脚本:server.py和client.py,分别使用python socket实现TCP的server端和cli
Tcpdump 抓包(http请求抓包
码者人生的技术博客
10-08 5488
0x4745 为"GET"前两个字母"GE"0x4854 为"HTTP"前两个字母"HT"说明: 通常情况下:一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3TCP挥手
tcpdump抓包分析TCP三次握手过程
renrenhappy的专栏
10-09 7046
一、 tcpdump使用1、首先看下MAN手册TCPDUMP(8)                                                                                                                                                        NAME       tcpdump - dump traffic on a networkSYNOPSIS       tcpdump [
Wireshark抓包分析TCP,发现居然只有三次挥手
snail-jie的博客
12-09 5449
背景 本人一直不喜欢背八股文,喜欢源码调式和测试,相信自己看到的,所以一直苦于怎样去学习网络协议。昨天看了一篇文章《简单的 HTTP 调用,为什么时延这么大?》,里面有用到Wireshark抓包工具分析了耗时原因。趋于好奇心,网上了解一下Wireshark怎样使用,发现一篇好文《(图文并茂,权威最详细)Wireshark抓包分析 TCP三次握手/四挥手详解》,自己动手安装分析一波 搭建环境 下载Wireshark:https://www.wireshark.org/#download(版本为3.6.0)
19.TCP协议解析、tcpdump抓包分析三次握手和四挥手
yanghangwww的博客
05-31 1493
1.tcp报文格式: 16 位源端口,16 位目的端口: 数据从何而来,去向何方。 32 位序号,32 位确认序号: 和 TCP 的 ACK 机制有关,发送端给数据进行编号,接收端收到数据后确认收到哪些编号的数据。 4 位报头长度: 表示 TCP 的首部占用多少个 4 字节。 6 个标志位: URG 紧急指针是否有效; ACK 确认号是否有效; PSH 提示接收端应用程序立刻从TCP缓冲区把数据读走; RST 复位标志,对方要求重新建立连接; SYN 同步标志,请求建立连接; FIN 结束标志,通知对方,
tcp断开连接,4握手,为什么wireshark 只能抓到3个包?
weixin_34185512的博客
11-11 1730
用wireshark 抓包,看看tcp 断开连接的过程.  以前书上说tcp断开连接,4握手,可我为什么wireshark 只能抓到3个包?   百度一下,别人也有类似的疑问。 【求助】书上和网上的资料说,TCP拆除连接需要四握手。但是本人多用wireshark抓包,都只能截到三个包 在网上搜索了很久都没有找到满意的解释。由于本人要填写实验报告,结果这样子就没法填了。 按照理论,TCP断...
利用tcpdump抓包工具监控TCP连接的三次握手断开连接的四挥手
芳草源的博客
08-05 5139
TCP传输控制协议是面向连接的可靠的传输层协议,在进行数据传输之前,需要在传输数据的两端(客户端和服务器端)创建一个连接,这个连接由一对插口地址唯一标识,即是在IP报文首部的源IP地址、目的IP地址,以及TCP数据报首部的源端口地址和目的端口地址。TCP首部结构如下: 其中在TCP连接和断开连接过程中的关键部分如下: 1.源端口号:即发送方的端口号,在TCP
干货!超级详细的Linux抓包工具tcpdump详解!
Java程序员的知识博客
06-10 1299
后面跟的 protocol 要求就没有那么严格,它可以是任意词,只要 tcpdump 的 IP 报文头部里的 protocol 字段为 就能匹配上。当你在使用多个过滤器进行组合时,有可能需要用到括号,而括号在 shell 中是特殊符号,因为你需要使用引号将其包含。官方文档手册:https://www.tcpdump.org/manpages/tcpdump.1.html。后面跟的 的关键词是固定的,只能是。根据 tcpflags 进行过滤。基于协议进行过滤:proto。基于端口进行过滤:port。
Linux——TCP协议(三次握手(从数据包名,双方连接状态,包序管理分析),四挥手(从数据包名,双方连接状态分析))
HanMeng的博客
07-10 865
文章目录:前言1. 三次握手1.1 从数据包名和连接双方状态分析三次握手1.2 包序管理1.2.1 抓网络数据包1.2.2 分析TCP网络数据包1.2.3 分析TCP包序号 前言 TCP协议的连接是面向连接,可靠传输,面向字节流的,而TCP之所以能保持可靠传输是因为三次握手和四挥手 1. 三次握手 1.1 从数据包名和连接双方状态分析三次握手 首先我们通过数据包名和连接双方的连接状态来了解三次握手的过程 如下图所示 客户端在发送SYN数据包后客户端的状态变为SYN_SENT,当服务端接收到客户端发送的
Tcpdump 网络抓包实战一看就会
mohuanfenghuang的博客
11-24 774
今天给伙伴们分享一下Tcpdump 网络抓包实战,希望看了有所收获。
wireshark抓php包,wireshark,tcp抓包_为什么我用wiresharktcp挥手包只抓到了三个?,wireshark,tcp抓包,tcp-ip - phpStudy...
weixin_39560924的博客
04-13 230
为什么我用wiresharktcp挥手包只抓到了三个?抓挥手包时只抓到了三个客户端代码import sockethost="121.42.196.153"port=9527BUFF_SIZE=1024s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)s.connect((host, port))print("connect to server...
tcpdump抓取tcp三次握手
星辰大海
10-09 2320
tcpdump抓取tcp三次握手 先要打开两个终端,打开root权限 输入 telnet www.baidu.com 80 查询一下IP号,然后输入ctrl+] 以及quit退出 administrator@ubuntu:~$ sudo su [sudo] password for administrator: root@ubuntu:/home/administrator# t
wireshark抓包分析四挥手,却只能抓到三次,有没有办法抓到
wanglei_11的博客
06-15 2281
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一握手 SYN 包,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据包,每超时重传的 RTO 是翻倍上涨的,直到 SYN 包的重传数到达 tcp_syn_retries 值后,客户端不再发送 SYN 包。在 Wireshark 的页面里,可以更加直观的分析数据包,不仅展示各个网络包的头部信息,还会用不同的颜色来区分不同的协议,由于这抓包只有 ICMP 协议,所以只有紫色的条目。
tcp挥手只抓的到3个包的原因分析
Grimm的博客
03-06 4744
理论上来说,tcp的四挥手过程是这样的 但是在今天真机抓包的时候发现了实际四握手的第二和第三次貌似是合并在一起了,并没有分成两来发送(seq和ack的值是没问题的) 如图:整个通信过程的最后3个包为四挥手的过程 ...
tcpdump抓包实例演示三次握手,数据传输,四挥手过程
qq_44231964的博客
01-20 1110
使用tcpdump监听百度的主页,抓包来分析数据传输的过程: 先看一个整体的过程,如图:这个是监听窗口 新开了一个终端去访问百度,可以在监听窗口发现传输的数据包: 下面分析一下监听窗口中的传输过程: 一、三次握手 第一握手:这是内核发出的第一个握手的包,包的大小为0字节,(我给百度发的第一个包) 15:12:56.924926 IP 192.168.95.128.53032(我的主机53032这个端口) > 14.215.177.39.80:(百度的ip和端口) Flags [S], seq
Linux Socket tcpdump/wireshark 只能捕获三次挥手
清风笑
08-15 825
由于监听本地回环,速度太快, 导致服务器收到FIN以后, 调用close的时候, 清除了socket缓存里ACK应答,.所以导致现在出现的情况 解决方法:     只要服务器收到FIN后,休眠一点时间再调用close,那么就能通过tcpdump/wireshark看到完整的四挥手消息. /*********************************************
TCP挥手,可以变成三次挥手吗?
小林coding
08-27 5779
当被动关闭方在 TCP 挥手过程中,如果「没有数据要发送」,同时「没有开启 TCP_QUICKACK(默认情况就是没有开启,没有开启 TCP_QUICKACK,等于就是在使用 TCP 延迟确认机制)」,那么第二和第三次挥手就会合并传输,这样就出现了三次挥手。所以,出现三次挥手现象,是因为 TCP 延迟确认机制导致的。完!......
TCP连接 相关问题
Eiger的博客
03-17 225
为什么连接的时候是三次握手,关闭的时候却是四握手? 因为当Server端收到Client端的SYN连接请求报文后,可以直接发送SYN+ACK报文。其中ACK报文是用来应答的,SYN报文是用来同步的。但是关闭连接时,当Server端收到FIN报文时,很可能并不会立即关闭SOCKET,所以只能先回复一个ACK报文,告诉Client端,“你发的FIN报文我收到了”。只有等到我Server端所有的报文都...
没有tcpdump命令怎么抓包
最新发布
07-23
在银河麒麟系统中,如果缺少 `tcpdump` 工具,仍可以通过其他方式实现网络数据包的捕获和分析。以下是几种可行的替代方案: ### 使用 `tcpdump` 以外的命令行工具 #### `tcpflow` `tcpflow` 是一个用于捕获和重组 TCP 流量的工具,能够将网络流量按会话拆分并保存为文件,便于后续分析。安装和使用方式如下: ```bash sudo apt install tcpflow tcpflow -i ens33 port 80 ``` 该命令会捕获通过 `ens33` 接口的 HTTP 流量,并将每个 TCP 会话保存为独立文件。 #### `tshark` `tshark` 是 Wireshark 的命令行版本,功能与图形界面版本一致,但更适合在无图形界面的服务器环境中使用。安装和使用方式如下: ```bash sudo apt install tshark tshark -i ens33 -f "tcp port 22" -w ssh_capture.pcap ``` 该命令会捕获 `ens33` 接口上与 SSH(端口 22)相关的流量,并将结果保存为 `ssh_capture.pcap` 文件,可使用 Wireshark 打开进行分析。 ### 使用内核模块和系统工具 #### `pktgen` 模块 `pktgen` 是 Linux 内核提供的一个网络数据包生成工具,虽然主要用于测试网络性能,但也可以用于捕获和分析特定流量。通过 `/proc` 文件系统进行配置,例如: ```bash echo "add_device eth0" > /proc/net/pktgen/kpktgend_0 echo "count 10000" > /proc/net/pktgen/eth0 echo "src_min 192.168.1.1" > /proc/net/pktgen/eth0 echo "dst_min 192.168.1.2" > /proc/net/pktgen/eth0 ``` 上述命令配置了 `eth0` 接口发送 10000 个数据包,源地址为 `192.168.1.1`,目标地址为 `192.168.1.2`。虽然主要用于生成流量,但结合 `tcpdump` 或 `tshark` 可以实现流量捕获和分析。 #### `nmap` 工具 `nmap` 是一款网络扫描和探测工具,虽然不直接用于抓包,但可以与 `tcpdump` 或 `tshark` 配合使用,进行特定目标的流量捕获。例如: ```bash nmap -sS -p 22 192.168.1.1 ``` 该命令会向 `192.168.1.1` 的 SSH 端口发送 TCP SYN 请求,结合 `tcpdump` 可以捕获到响应流量。 ### 使用图形化工具 #### Wireshark 如果银河麒麟系统支持图形界面,可以直接使用 Wireshark 进行抓包。启动 Wireshark 后选择需要监听的网络接口,点击“开始”即可进行抓包。Wireshark 提供了强大的过滤和分析功能,适合需要详细分析流量的场景。 #### `tcpdump` 替代方案 如果无法直接安装 `tcpdump`,但系统支持 Python,可以使用 `scapy` 库进行数据包捕获和分析。安装和使用方式如下: ```bash pip install scapy ``` ```python from scapy.all import sniff # 捕获前 10 个数据包 packets = sniff(count=10, iface="ens33") packets.summary() ``` 该脚本会捕获 `ens33` 接口上的前 10 个数据包,并输出简要信息。 ### 总结 在银河麒麟系统中,即使没有 `tcpdump` 命令,仍可通过 `tshark`、`tcpflow`、`scapy` 等工具实现数据包的捕获和分析。这些工具在功能上各有侧重,适用于不同的使用场景和需求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值