本文详细介绍了TCP的三次握手建立连接和四次挥手释放连接的过程,解释了为何需要如此设计。同时,讲解了tcpdump工具的使用,通过实例展示了如何捕获并分析TCP连接的握手和释放过程。此外,还提供了抓包分析的具体步骤和截图,帮助理解TCP通信的实际操作。
一、TCP连接建立(三次握手)
过程
客户端A,服务器B,初始序号seq,确认号ack
初始状态:B处于监听状态,A处于打开状态
A -> B : seq = x
(A向B发送连接请求报文段,A进入同步发送状态SYN-SENT)
B -> A : ack = x +
1,seq = y (B收到报文段,向A发送确认,B进入同步收到状态SYN-RCVD)
A -> B : ack = y+1
(A收到B的确认后,再次确认,A进入连接状态ESTABLISHED)
连接后的状态:B收到A的确认后,进入连接状态ESTABLISHED
为什么要握手要三次
防止失效的连接请求突然传到服务器端,让服务器端误认为要建立连接。
二、TCP连接释放(四次挥手)
过程
A -> B : seq = u
(A发出连接释放报文段,进入终止等待1状态FIN-WAIT-1)
B -> A : ack = u +
1,seq = v (B收到报文段,发出确认,TCP处于半关闭,B还可向A发数据,B进入关闭等待状态WAIT)
B -> A : ack = u +
1,seq = w (B重复发送确认号,进入最后确认状态LAST-ACK)
A -> B : ack = w +
1,seq = u + 1 (A发出确认,进入时间等待状态TIME-WAIT)
经过时间等待计时器设置的时间2MSL后,A才进入CLOSED状态
为什么A进入TIME-WAIT后必须等待2MSL
保证A发送的最后一个ACK报文段能达到B
防止失效的报文段出现在连接中
三、Tcpdump使用
tcpdump是对网络上的数据包进行截获的包分析工具,它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息。
监视指定主机的数据包
tcpdump host
:截获该IP的主机收到的和发出的所有的数据包
tcpdump host and
:截获两个IP对应主机之间的通信
监视指定端口的数据包
tcpdump port
:截获本机80端口的数据包
四、抓包分析握手过程
抓包方法:首先使用tcpdump命令截获本机与某远程主机的数据包,然后打开某远程主机对应的网站,这里用我的域名www.fonxian.cn来做试验。
ping www.baidu.com
得到域名对应的ip: 61.135.169.125
ifconfg
得到本机内网ip:10.128.10.24
-S 参数的目的是获得ack的绝对值,不加该参数,第三次握手的ack为相对值1
sudo tcpdump -S host 192.168.0.108 and 151.101.100.133
得到下图
其中
1 S 表示是SYN 标记
客户端正准备发起一个请求
2 客户端发送的seq=3481431827
3 表示服务器接收到客户端的请求 发给客户端 ack=34814318278 同时发送SYN=421177755
4 表示客户端接受到服务器的同意连接的请求 发送确认信息 ack=421177756
5 P 表示数据传输状态
6 F 表示连接开始断开的状态
7 表示客户端主动发起断开连接的请求 seq=3481432002, ack=421180537
8 服务端发起确认请求 ack=3481432003
9 表示服务端发起断开连接的请求 seq=421180537, ack=3481432003
10 表示客户端收到服务端发送的断开连接的请求 发送确认信息 ack=421180538
扫一扫
3499
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
