关于tcp包头的一个小问题 [图] (转载) - 未名空间MITBBS历史存档

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>未名空间

>Programming - 葵花宝典

关于tcp包头的一个小问题 [图] (转载)

关于tcp包头的一个小问题 [图] (转载)# Programming - 葵花宝典

f*a2008-04-24 07:04

1 楼

【以下文字转载自 Linux 讨论区】
发信人: fololunsia (我心飞扬), 信区: Linux
标题: 关于tcp包头的一个小问题 [图]
发信站: BBS 未名空间站 (Thu Apr 24 18:45:10 2008)
我开一个窗口用tcpdump来看tcp包，
另一个窗口用telnet google.com 80，按照TCP的header定义，前16bit是source port, 然后16bit是dest port.如下图所是：
收到如下的TCP包：很奇怪的是我发现，收到的包里面0014 a9ec(16 bit)好像不是source port number，因为在google返回的包头中b16b 0014才是。是不是我哪里读错了？谢谢。
root# tcpdump host google.com -XX
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), captur

t*t2008-04-24 07:04

2 楼

首先, 0014 a9ec是32bit, 不识数...?!
其次, -XX是"Print each packet, including its link level header", 不读手册
的...?!
拿掉Eth的14 byte, 再拿掉IP的20byte, 从0x22开始才是TCP packet, a51f和0050才是
正确的src/dst port number. 你稍微动动脑子就知道, 你连别人的80端口, 肯定找
0050就对了啊.

port, 然后16bit是dest port.如下图所是：
source port number，因为在google返回的包头中b16b 0014才是。是不是我哪里读错
了？谢谢。

【在 f********a 的大作中提到】

: 【以下文字转载自 Linux 讨论区】
: 发信人: fololunsia (我心飞扬), 信区: Linux
: 标题: 关于tcp包头的一个小问题 [图]
: 发信站: BBS 未名空间站 (Thu Apr 24 18:45:10 2008)
: 我开一个窗口用tcpdump来看tcp包，
: 另一个窗口用telnet google.com 80，按照TCP的header定义，前16bit是source port, 然后16bit是dest port.如下图所是：
: 收到如下的TCP包：很奇怪的是我发现，收到的包里面0014 a9ec(16 bit)好像不是source port number，因为在google返回的包头中b16b 0014才是。是不是我哪里读错了？谢谢。
: root# tcpdump host google.com -XX
: tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
: listening on eth0, link-type EN10MB (Ethernet), captur

f*a2008-04-24 07:04

3 楼

谢谢，我还有一个问题关于关闭TCP链接。
tcpdump监测到的由client请求关闭TCP链接的3个包如下：
17:29:52.966565 IP (tos 0x10, ttl 64, id 29216, offset 0, flags [DF], proto
cksum 0xb42e (correct), 19:19(0) ack 6593 win 634 2397039718 201985783>
0x0000: 0014 a9ec 05ff 0018 8b56 b16b 0800 4510 .........V.k..E.
0x0010: 0034 7220 4000 4006 210b 0acc a070 40e9 [email protected]@[email protected]
0x0020: bb63 ac92 0050 82fc 9779 c470 f679 8011 .c...P...y.p.y..
0x0030: 027a b42e 0000 0101 080a 8edf ec66 0c0a .z...........f..
0x0040: 0ef7 ..
1

f*a2008-04-24 07:04

4 楼

nobody knows?

proto

【在 f********a 的大作中提到】

: 谢谢，我还有一个问题关于关闭TCP链接。
: tcpdump监测到的由client请求关闭TCP链接的3个包如下：
: 17:29:52.966565 IP (tos 0x10, ttl 64, id 29216, offset 0, flags [DF], proto
: cksum 0xb42e (correct), 19:19(0) ack 6593 win 634 : 2397039718 201985783>
: 0x0000: 0014 a9ec 05ff 0018 8b56 b16b 0800 4510 .........V.k..E.
: 0x0010: 0034 7220 4000 4006 210b 0acc a070 40e9 [email protected]@[email protected]
: 0x0020: bb63 ac92 0050 82fc 9779 c470 f679 8011 .c...P...y.p.y..
: 0x0030: 027a b42e 0000 0101 080a 8edf ec66 0c0a .z...........f..
: 0x0040: 0ef7 ..