tcpdump tcp

 

[root@bogon ~]# tcpdump  -i enahisic2i3 tcp and src host 10.10.103.229 and  "tcp[tcpflags] & (tcp-syn|tcp-ack) != 0"  -ee -nnn -vv
tcpdump: listening on enahisic2i3, link-type EN10MB (Ethernet), capture size 262144 bytes
13:56:52.942873 44:a1:91:a4:9b:eb > 48:57:02:64:ea:1e, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 32936, offset 0, flags [DF], proto TCP (6), length 40)
    10.10.103.229.80 > 10.10.103.81.58906: Flags [.], cksum 0x665b (correct), seq 2821682347, ack 644008566, win 29200, length 0
13:56:54.161503 44:a1:91:a4:9b:eb > 48:57:02:64:ea:1e, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 26710, offset 0, flags [DF], proto TCP (6), length 40)
    10.10.103.229.80 > 10.10.103.81.58994: Flags [S.], cksum 0xfc71 (correct), seq 2821704874, ack 349433237, win 29200, length 0

 

• [S] 表示这是一个SYN请求

• [.] 表示这是一个ACK确认包，(client)SYN->(server)SYN->(client)ACK 就是3次握手过程

• [P] 表示这个是一个数据推送，可以是从服务器端向客户端推送，也可以从客户端向服务器端推

• [F] 表示这是一个FIN包，是关闭连接操作，client/server都有可能发起

• [R] 表示这是一个RST包，与F包作用相同，但RST表示连接关闭时，仍然有数据未被处理。可以理解为是强制切断连接

• win 342是指滑动窗口大小

• length 12指数据包的大小