[root@bogon ~]# tcpdump -i enahisic2i3 tcp and src host 10.10.103.229 and "tcp[tcpflags] & (tcp-syn|tcp-ack) != 0" -ee -nnn -vv tcpdump: listening on enahisic2i3, link-type EN10MB (Ethernet), capture size 262144 bytes 13:56:52.942873 44:a1:91:a4:9b:eb > 48:57:02:64:ea:1e, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 32936, offset 0, flags [DF], proto TCP (6), length 40) 10.10.103.229.80 > 10.10.103.81.58906: Flags [.], cksum 0x665b (correct), seq 2821682347, ack 644008566, win 29200, length 0 13:56:54.161503 44:a1:91:a4:9b:eb > 48:57:02:64:ea:1e, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 26710, offset 0, flags [DF], proto TCP (6), length 40) 10.10.103.229.80 > 10.10.103.81.58994: Flags [S.], cksum 0xfc71 (correct), seq 2821704874, ack 349433237, win 29200, length 0
-
[S] 表示这是一个SYN请求
-
[.] 表示这是一个ACK确认包,(client)SYN->(server)SYN->(client)ACK 就是3次握手过程
-
[P] 表示这个是一个数据推送,可以是从服务器端向客户端推送,也可以从客户端向服务器端推
-
[F] 表示这是一个FIN包,是关闭连接操作,client/server都有可能发起
-
[R] 表示这是一个RST包,与F包作用相同,但RST表示连接关闭时,仍然有数据未被处理。可以理解为是强制切断连接
-
win 342是指滑动窗口大小
-
length 12指数据包的大小