用tcpdump分析tcp三次握手，四次挥手

Posted 2020-06-23

1.tcpdump 简介

　　　tcpdump是一个对网络上的数据包进行截获的包分析工具，一般linux系统以命令的形式使用

2.tcp三次握手

　　建立一个tcp连接会发生下面三个过程：

　　　　1.服务器必须准备好接受外来的连接，一般是调用socket,bind,listen三个函数完成

　　　　2.客户端通过connect主动连接。客户端tcp发送一个SYN,告诉服务器将在连接中发送数据的序列号

　　　　3.服务器必须确认（ACK）客户端的SYN，同时发送自己的SYN

　　　　4.客户端必须确认服务器的SYN

　　　　　　总共会进行三次数据交互

　　用tcpdump呈现这一过程：

　　　　1.开启服务器程序

　　　　2.使用 "sudo tcpdump -i lo" 命令抓取回环127.0.0.1地址

　　　　3.开启客户端程序，建立连接，结果如下：

　　　　

　　　　客户端localhost.58032 -> localhost.9877  flags[S] （发送syn），服务端返回syn与ack ，客户端再返回ack

3.tcp四次挥手

　　　　tcp四次挥手

　　　　　　1.应用调用close,执行主动关闭，该端的tcp发送一个FIN表示数据发送完毕

　　　　　　2.接收到FIN的对端执行被动关闭，这个FIN由tcp确认，他的接收作为一个eof，放入缓存等待应用程序接收，

　　　　　　3.应用程序收到FIN将调用close关闭，它的tcp也发送一个fin

　　　　　　4.接收到这个最终FIN的原发送端确认这个FIN

　　　　　　　　虽然每个方向都需要一个FIN和一个ACK 总共四个分节，实际情况中只需要三个，2,3可以合并为一个分节，

　　　　　　tcpdump抓到一个断开连接的数据包