请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?

jerse

怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?望各位指点一二,十分感谢!\r\n

1. \r\n15:21:13.119600 168.168.10.164.2218 >; localhost.8010: S 3354149270:3354149270(0) win 65535 <mss 1460,nop,nop,sackOK>; (DF)\r\n15:21:13.119652 localhost.8010 >; 168.168.10.164.2218: S 3928180:3928180(0) ack 3354149271 win 5840 <mss 1460,nop,nop,sackOK>; (DF)\r\n15:21:13.119995 168.168.10.164.2218 >; localhost.8010: . ack 1 win 65535 (DF)\r\n15:21:17.506533 168.168.10.164.2218 >; localhost.8010: P 1:2(1) ack 1 win 65535 (DF)\r\n

复制代码

lozity

楼上的老大是在主机上这么做吗？为什么我在linux上没有发现这个命令？？？

abel

tcpdump 妙用無窮, 樓主不思自己研究,該打\r\n我記不太清楚, 3 way handshaking 中的第三次 FLAG 是什麼,好像是 ACK 而以\r\n而 ack number 為1 , 首先你要看懂 tcp 表頭..這個就不說了...\r\n

1. tcpdump \'tcp[8:4]&0xffffffff=1 and tcp[13] & 0xff=16\'

复制代码

\r\ntcp[8] 欄位第8 byet 後面四個值 & (AND) 0xffffffff =1,表示 ack number=1\r\ntcp[13] , & 0xff 表示取 flag 僅為 ACK 的\r\n\r\n所以,這就是答案,如果我 3W handshaking 沒記錯的話,如果不是你自己查了\r\n不過要發生這個條件的機率相當低 ...簡直不太可能\r\n\r\n去找一個叫 hping2 的 tool\r\n

1. hping2 ip -L 1 -A

复制代码

\r\n-L 1 對該 IP 送出 ack numer 為 1\r\n-A tcp flag 為 ack\r\n的封包,如此 ...大功告成,不過這兩個 tool 你得花點時間研究了

我爱臭豆腐

原帖由 \"abel\" 发表：\n-L 1 對該 IP 送出 ack numer 為 1\r\n-A tcp flag 為 ack\r\n的封包,如此 ...大功告成,不過這兩個 tool 你得花點時間研究了

\r\n\r\n值得学习.

colddawn

tcpdump默认用了相对序号，也就是说只有在syn包的时候才会显示完整序列号，非syn包只显示相对于它的syn包的序列号增量，例如第一个ack自然就是1了，以后这个连接方向上的序列号也就相对的2，3，4，5这样的增加，为了方便观看而已。

lozity

在linux下tcpdump命令用什么替代的？？？谢谢

我爱臭豆腐

很多linux下面都有啊.如果是没有可以下载一个.http://www.tcpdump.org/binaries.html

河里的鱼

[quote]原帖由 \"colddawn\"]tcpdump默认用了相对序号，也就是说只有在syn包的时候才会显示完整序列号，非syn包只显示相对于它的syn包的序列号增量，例如第一个ack自然就是1了，以后这个连接方向上的序列号也就相对的2，3，4，5这样的增加，为了..........[/quote 发表：\n\r\n\r\nYES~~~~~~

qiuqiu621

请问一下下面这条内容中后半部分（从V3 开始）是什么意思啊？我用tcpdump监听访问本地UDP 123端口的数据流量\r\n08:00:03.708511 192.168.206.178.ntp >; 192.168.188.2.ntp:  v3 client strat 3 poll 6 prec -18 [tos 0xc0]

wonderliang

我猜，搂主想知道的是，都第三个包了，ack怎么还是1：\r\n我记得是这样，假设\r\n第一个包：A发起tcp连接到B\r\n第二个包：B发ack 1回A，并且自己再发一个syn给A，这两个过程相对独立，不受第一个ACK影响。\r\n第三个包：A发ack 1回B\r\n这样就可以理解了。