请教,怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?

jerse

怎么我用tcpdump监听的tcp三次握手第三次的ack序列号是1?望各位指点一二,十分感谢!

1. 
   
2. 15:21:13.119600 168.168.10.164.2218 >; localhost.8010: S 3354149270:3354149270(0) win 65535 <mss 1460,nop,nop,sackOK>; (DF)
   
3. 15:21:13.119652 localhost.8010 >; 168.168.10.164.2218: S 3928180:3928180(0) ack 3354149271 win 5840 <mss 1460,nop,nop,sackOK>; (DF)
   
4. 15:21:13.119995 168.168.10.164.2218 >; localhost.8010: . ack 1 win 65535 (DF)
   
5. 15:21:17.506533 168.168.10.164.2218 >; localhost.8010: P 1:2(1) ack 1 win 65535 (DF)
   

复制代码

lozity

楼上的老大是在主机上这么做吗？为什么我在linux上没有发现这个命令？？？

abel

tcpdump 妙用無窮, 樓主不思自己研究,該打
我記不太清楚, 3 way handshaking 中的第三次 FLAG 是什麼,好像是 ACK 而以
而 ack number 為1 , 首先你要看懂 tcp 表頭..這個就不說了...

1. tcpdump 'tcp[8:4]&0xffffffff=1 and tcp[13] & 0xff=16'

复制代码

tcp[8] 欄位第8 byet 後面四個值 & (AND) 0xffffffff =1,表示 ack number=1
tcp[13] , & 0xff 表示取 flag 僅為 ACK 的

所以,這就是答案,如果我 3W handshaking 沒記錯的話,如果不是你自己查了
不過要發生這個條件的機率相當低 ...簡直不太可能

去找一個叫 hping2 的 tool

1. hping2 ip -L 1 -A

复制代码

-L 1 對該 IP 送出 ack numer 為 1
-A tcp flag 為 ack
的封包,如此 ...大功告成,不過這兩個 tool 你得花點時間研究了

我爱臭豆腐

原帖由 "abel" 发表：
-L 1 對該 IP 送出 ack numer 為 1
-A tcp flag 為 ack
的封包,如此 ...大功告成,不過這兩個 tool 你得花點時間研究了

值得学习.

colddawn

tcpdump默认用了相对序号，也就是说只有在syn包的时候才会显示完整序列号，非syn包只显示相对于它的syn包的序列号增量，例如第一个ack自然就是1了，以后这个连接方向上的序列号也就相对的2，3，4，5这样的增加，为了方便观看而已。

lozity

在linux下tcpdump命令用什么替代的？？？谢谢

我爱臭豆腐

很多linux下面都有啊.如果是没有可以下载一个.http://www.tcpdump.org/binaries.html

河里的鱼

[quote]原帖由 "colddawn"]tcpdump默认用了相对序号，也就是说只有在syn包的时候才会显示完整序列号，非syn包只显示相对于它的syn包的序列号增量，例如第一个ack自然就是1了，以后这个连接方向上的序列号也就相对的2，3，4，5这样的增加，为了..........[/quote 发表：


YES~~~~~~

Devil_xl

恩!

qiuqiu621

请问一下下面这条内容中后半部分（从V3 开始）是什么意思啊？我用tcpdump监听访问本地UDP 123端口的数据流量
08:00:03.708511 192.168.206.178.ntp >; 192.168.188.2.ntp:  v3 client strat 3 poll 6 prec -18 [tos 0xc0]