本文详细解析了207机器向206机器发送HTTP GET请求的过程,包括三次握手建立连接和四次挥手释放连接的原理,以及如何通过tcpdump工具捕获和解释相关数据包。
背景:207机器向206机器发送http的get请求,206给207以回应。这个过程中,TCP 连接建立起来后,src 和 dst 端口不变了。http 请求开始和结束要进行三次握手建立连接和四次握手释放连接,中间不断进行数据传输,不涉及握手 / 挥手。
to server的包 :在206机器上输入: sudo tcpdump -i bond0 src host 10.2.5.207 -w src.pcap
pcap包的截图,由于图片过大,可以通过放大看清,下面附上右侧部分截图。
解释:
前两行是四次握手的其中之二,后两个是三次握手的其中之二,具体解释如下图:
注意:上面的三次握手,左边主机在收到第二个(SYN+ACK)报文之后,会在自己的连接状态位设置为ESTABLISHED
右边主机收到第三个(ACK)报文之后,会在自己的连接状态位设为ESTABLISHED
这个字段可以通过netstat 查看如下图
to client的包:抓取209机器给17机器发的包,命令是:sudo tcpdump -i bond0 dst host 10.32.17.7 -w result.pcap
结果如图:
解释:
第一个是三次握手的其中之一,最后两个是四次握手的其中之二。其中,第二行的[ACK]包的缘由如下:
三次握手建立起来后,17给209发get请求,209给17一个回应,告诉其收到了这个get请求,这个回应就是这个[ACK]包。
ACK (Acknowledgement),中文译为”确认字符“。它的作用是确认发来的数据已经接受无误。
完整的17机器向209机器发请求的截图如下
参考链接:
http://www.cnblogs.com/Jessy/p/3535612.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
