Chinaunix

标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1? [打印本页]

作者: jerse 时间: 2005-09-26 15:44
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?望各位指点一二,十分感谢!

15:21:13.119600 168.168.10.164.2218 >; localhost.8010: S 3354149270:3354149270(0) win 65535 <mss 1460,nop,nop,sackOK>; (DF)
15:21:13.119652 localhost.8010 >; 168.168.10.164.2218: S 3928180:3928180(0) ack 3354149271 win 5840 <mss 1460,nop,nop,sackOK>; (DF)
15:21:13.119995 168.168.10.164.2218 >; localhost.8010: . ack 1 win 65535 (DF)
15:21:17.506533 168.168.10.164.2218 >; localhost.8010: P 1:2(1) ack 1 win 65535 (DF)

复制代码

作者: lozity 时间: 2005-09-28 15:50
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
楼上的老大是在主机上这么做吗？为什么我在linux上没有发现这个命令？？？

作者: abel 时间: 2005-09-28 16:46
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
tcpdump 妙用無窮, 樓主不思自己研究,該打
我記不太清楚, 3 way handshaking 中的第三次 FLAG 是什麼,好像是 ACK 而以
而 ack number 為1 , 首先你要看懂 tcp 表頭..這個就不說了...

tcpdump 'tcp[8:4]&0xffffffff=1 and tcp[13] & 0xff=16'

复制代码

tcp[8] 欄位第8 byet 後面四個值 & (AND) 0xffffffff =1,表示 ack number=1
tcp[13] , & 0xff 表示取 flag 僅為 ACK 的

所以,這就是答案,如果我 3W handshaking 沒記錯的話,如果不是你自己查了
不過要發生這個條件的機率相當低 ...簡直不太可能

去找一個叫 hping2 的 tool

hping2 ip -L 1 -A

复制代码

-L 1 對該 IP 送出 ack numer 為 1
-A tcp flag 為 ack
的封包,如此 ...大功告成,不過這兩個 tool 你得花點時間研究了

作者: 我爱臭豆腐 时间: 2005-09-28 16:53
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?

原帖由 "abel" 发表：
-L 1 對該 IP 送出 ack numer 為 1
-A tcp flag 為 ack
的封包,如此 ...大功告成,不過這兩個 tool 你得花點時間研究了

值得学习.

作者: colddawn 时间: 2005-09-29 07:28
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
tcpdump默认用了相对序号，也就是说只有在syn包的时候才会显示完整序列号，非syn包只显示相对于它的syn包的序列号增量，例如第一个ack自然就是1了，以后这个连接方向上的序列号也就相对的2，3，4，5这样的增加，为了方便观看而已。

作者: lozity 时间: 2005-09-29 08:30
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
在linux下tcpdump命令用什么替代的？？？谢谢

作者: 我爱臭豆腐 时间: 2005-09-29 08:49
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
很多linux下面都有啊.如果是没有可以下载一个.http://www.tcpdump.org/binaries.html

作者: 河里的鱼 时间: 2005-09-29 10:20
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
[quote]原帖由 "colddawn"]tcpdump默认用了相对序号，也就是说只有在syn包的时候才会显示完整序列号，非syn包只显示相对于它的syn包的序列号增量，例如第一个ack自然就是1了，以后这个连接方向上的序列号也就相对的2，3，4，5这样的增加，为了..........[/quote 发表：

YES~~~~~~

作者: Devil_xl 时间: 2005-09-29 11:38
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
恩!

作者: qiuqiu621 时间: 2005-09-29 16:21
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
请问一下下面这条内容中后半部分（从V3 开始）是什么意思啊？我用tcpdump监听访问本地UDP 123端口的数据流量
08:00:03.708511 192.168.206.178.ntp >; 192.168.188.2.ntp: v3 client strat 3 poll 6 prec -18 [tos 0xc0]

作者: wonderliang 时间: 2005-09-29 17:18
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
我猜，搂主想知道的是，都第三个包了，ack怎么还是1：
我记得是这样，假设
第一个包：A发起tcp连接到B
第二个包：B发ack 1回A，并且自己再发一个syn给A，这两个过程相对独立，不受第一个ACK影响。
第三个包：A发ack 1回B
这样就可以理解了。

作者: qzhu 时间: 2005-10-01 01:55
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
ntp V3 means ntp version 3

作者: colddawn 时间: 2005-10-01 09:55
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
udp 123g刚好是ntp的服务端口，楼主你抓到ntp同步的数据报了，对于一些已知协议，tcpdump能基本解读数据报的内容的

作者: jerse 时间: 2005-10-08 09:24
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
唉,都是我看书不深入,tcpdump要加个-S参数才会显示绝对序列号,不然是相对的,呵呵,谢谢各位

作者: kuaiyiec 时间: 2005-10-11 01:27
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
好高深噢~~

作者: 忽悠2008 时间: 2005-10-27 16:16
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
好

作者: cobra533 时间: 2005-10-27 21:45
标题: 请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?
tcpdumfp用的是相对序列号

作者: loveKDE 时间: 2005-11-30 12:40
linux主机上没有？不会吧。。我怎么都有？

作者: 秋池飞叶 时间: 2005-12-25 20:03

原帖由 jerse 于 2005-10-8 09:24 发表
唉,都是我看书不深入,tcpdump要加个-S参数才会显示绝对序列号,不然是相对的,呵呵,谢谢各位

正解~！各位可以去翻翻书，我记得书上说对比较大的字符串排序很麻烦，而ACK又是上一序号加1，所以默认情况下就是ACK1了~

作者: aobai 时间: 2007-04-08 21:29
我的也没有.

作者: aijoex 时间: 2009-04-30 16:44

原帖由 colddawn 于 2005-9-29 07:28 发表
tcpdump默认用了相对序号，也就是说只有在syn包的时候才会显示完整序列号，非syn包只显示相对于它的syn包的序列号增量，例如第一个ack自然就是1了，以后这个连接方向上的序列号也就相对的2，3，4，5这样的增加， ...

标记

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)