Redian新闻
>
关于tcp包头的一个小问题 [图] (转载)
avatar
关于tcp包头的一个小问题 [图] (转载)# Programming - 葵花宝典
f*a
1
【 以下文字转载自 Linux 讨论区 】
发信人: fololunsia (我心飞扬), 信区: Linux
标 题: 关于tcp包头的一个小问题 [图]
发信站: BBS 未名空间站 (Thu Apr 24 18:45:10 2008)
我开一个窗口用tcpdump来看tcp包,
另一个窗口用telnet google.com 80,按照TCP的header定义,前16bit是source port, 然后16bit是dest port.如下图所是:
收到如下的TCP包:很奇怪的是我发现,收到的包里面0014 a9ec(16 bit)好像不是source port number,因为在google返回的包头中b16b 0014才是。是不是我哪里读错了?谢谢。
root# tcpdump host google.com -XX
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), captur
avatar
t*t
2
首先, 0014 a9ec是32bit, 不识数...?!
其次, -XX是"Print each packet, including its link level header", 不读手册
的...?!
拿掉Eth的14 byte, 再拿掉IP的20byte, 从0x22开始才是TCP packet, a51f和0050才是
正确的src/dst port number. 你稍微动动脑子就知道, 你连别人的80端口, 肯定找
0050就对了啊.

port, 然后16bit是dest port.如下图所是:
source port number,因为在google返回的包头中b16b 0014才是。是不是我哪里读错
了?谢谢。

【在 f********a 的大作中提到】
: 【 以下文字转载自 Linux 讨论区 】
: 发信人: fololunsia (我心飞扬), 信区: Linux
: 标 题: 关于tcp包头的一个小问题 [图]
: 发信站: BBS 未名空间站 (Thu Apr 24 18:45:10 2008)
: 我开一个窗口用tcpdump来看tcp包,
: 另一个窗口用telnet google.com 80,按照TCP的header定义,前16bit是source port, 然后16bit是dest port.如下图所是:
: 收到如下的TCP包:很奇怪的是我发现,收到的包里面0014 a9ec(16 bit)好像不是source port number,因为在google返回的包头中b16b 0014才是。是不是我哪里读错了?谢谢。
: root# tcpdump host google.com -XX
: tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
: listening on eth0, link-type EN10MB (Ethernet), captur

avatar
f*a
3
谢谢,我还有一个问题关于关闭TCP链接。
tcpdump监测到的由client请求关闭TCP链接的3个包如下:
17:29:52.966565 IP (tos 0x10, ttl 64, id 29216, offset 0, flags [DF], proto
cksum 0xb42e (correct), 19:19(0) ack 6593 win 634 2397039718 201985783>
0x0000: 0014 a9ec 05ff 0018 8b56 b16b 0800 4510 .........V.k..E.
0x0010: 0034 7220 4000 4006 210b 0acc a070 40e9 [email protected]@[email protected]
0x0020: bb63 ac92 0050 82fc 9779 c470 f679 8011 .c...P...y.p.y..
0x0030: 027a b42e 0000 0101 080a 8edf ec66 0c0a .z...........f..
0x0040: 0ef7 ..
1
avatar
f*a
4
nobody knows?

proto

【在 f********a 的大作中提到】
: 谢谢,我还有一个问题关于关闭TCP链接。
: tcpdump监测到的由client请求关闭TCP链接的3个包如下:
: 17:29:52.966565 IP (tos 0x10, ttl 64, id 29216, offset 0, flags [DF], proto
: cksum 0xb42e (correct), 19:19(0) ack 6593 win 634 : 2397039718 201985783>
: 0x0000: 0014 a9ec 05ff 0018 8b56 b16b 0800 4510 .........V.k..E.
: 0x0010: 0034 7220 4000 4006 210b 0acc a070 40e9 [email protected]@[email protected]
: 0x0020: bb63 ac92 0050 82fc 9779 c470 f679 8011 .c...P...y.p.y..
: 0x0030: 027a b42e 0000 0101 080a 8edf ec66 0c0a .z...........f..
: 0x0040: 0ef7 ..

avatar
f*y
5
By definition, the 'FIN' packets will increase the seq by one additional
byte.
相关阅读
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。