tcpdump——分析tcp关闭4次过程

tcp连接在关闭的时候,需要进行4次传输过程,图片如下:

首先是client发送FIN到Server,通常是client调用了close,client进入FIN_WAIT1状态。

Server的tcp在收到FIN之后,立刻返回ACK给客户端,同时Server进入CLOSE_WAIT状态。

client在收到server的ack之后,进入FIN_WAIT2状态。

server在发送ACK之后,通常主动调用close来关闭与客户端连接的socket,这个是时候发送FIN给客户端,server进入LAST_ACK状态。

客户端收到server的FIN之后,进入TIME_WAIT, 同事返回ACK,server收到ACK后进入CLOSED状态

现在来写程序验证一下这个过程,同时用tcpdump进行抓包分析。

1、client主动关闭socket,server不关闭对应的socket。

server程序:

addr = ('127.0.0.1', 9988)
server = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
server.bind(addr)
server.listen(10)

while True:
        connection, address = server.accept()
        print 'connection ip:', address

client程序:

addr = ('127.0.0.1', 9988)
client = socket(AF_INET, SOCK_STREAM)
client.connect(addr)
client.send('hello server123456789')
client.close()

先运行server,再运行client,用tcpdump抓包(只贴出tcp关闭部分)。

16:41:03.411439 IP localhost.40464 > localhost.9988: Flags [F.], seq 4077955702, ack 4081074301, win 513, options [nop,nop,TS val 19893050 ecr 19893050], length 0

16:41:03.450137 IP localhost.9988 > localhost.40464: Flags [.], ack 4077955703, win 512, options [nop,nop,TS val 19893060 ecr 19893050], length 0

从抓获的数据包来看,client给server发送了FIN,并且server端返回了ACK,然后就没有其他的数据包了。

用netstat -an | grep 9988查看现在的套接字信息是这样的:

tcp        0      0 127.0.0.1:9988          0.0.0.0:*               LISTEN     
tcp       22      0 127.0.0.1:9988          127.0.0.1:40464         CLOSE_WAIT 
tcp        0      0 127.0.0.1:40464         127.0.0.1:9988          FIN_WAIT2  

客户端的端口处于FIN_WAIT2, server与client连接的端口处于CLOSE_WAIT状态。这个是符合一开始的状态图的。

由于server并没有主动关闭本地的socket,所以没有发送FIN给client,client一直等待server的FIN,所以一直处在FIN_WAIT2.

2、server在客户端断开连接后也调用close

server程序:

addr = ('127.0.0.1', 9988)
server = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
server.bind(addr)
server.listen(10)

while True:
        connection, address = server.accept()
        print 'connection ip:', address
        while True:
                readBuf = connection.recv(1024)
                if len(readBuf) == 0:
                        connection.close()
                        print 'connection close'
                        break
                print readBuf

client程序还是使用之前的。

server需要在client关闭的时候,也调用close,那么有一个问题就是server如何知道client调用了close。在tcp协议里,如果client关闭了,那么server在read的时候会返回长度为0的数据。

server程序为了测试,只是很简单的对一个客户端sock进行read,如果read到的buf长度是0,就认为client关闭连接了,然后server也关闭对应的sock。

运行程序,抓包结果如下:

17:06:10.932798 IP localhost.47835 > localhost.9988: Flags [F.], seq 1945810449, ack 1949135243, win 513, options [nop,nop,TS val 20269930 ecr 20269930], length 0
0x0000: 4500 0034 fd7c 4000 4006 3f45 7f00 0001 E..4.|@.@.?E….
0x0010: 7f00 0001 badb 2704 73fa b611 742d 718b ……’.s…t-q.
0x0020: 8011 0201 fe28 0000 0101 080a 0135 4b6a …..(…….5Kj
0x0030: 0135 4b6a .5Kj

17:06:10.932885 IP localhost.9988 > localhost.47835: Flags [F.], seq 1949135243, ack 1945810450, win 512, options [nop,nop,TS val 20269930 ecr 20269930], length 0
0x0000: 4500 0034 3ae1 4000 4006 01e1 7f00 0001 E..4:.@.@…….
0x0010: 7f00 0001 2704 badb 742d 718b 73fa b612 ….’…t-q.s…
0x0020: 8011 0200 fe28 0000 0101 080a 0135 4b6a …..(…….5Kj
0x0030: 0135 4b6a .5Kj

17:06:10.932923 IP localhost.47835 > localhost.9988: Flags [.], ack 1949135244, win 513, options [nop,nop,TS val 20269930 ecr 20269930], length 0
0x0000: 4500 0034 fd7d 4000 4006 3f44 7f00 0001 E..4.}@.@.?D….
0x0010: 7f00 0001 badb 2704 73fa b612 742d 718c ……’.s…t-q.
0x0020: 8010 0201 fe28 0000 0101 080a 0135 4b6a …..(…….5Kj
0x0030: 0135 4b6a .5Kj

分析抓获的数据包我们能看到,服务器返回了[F.],然后客户端就ACK了。

通常来说tcp关闭连接是4次过程,这里我们只看到了3次,是因为server返回给client的ACK和FIN合并成一个分组发给client了。

为了验证是这样的情况,我们分析一下tcp数据包头。我们知道IP数据包头是20个字节,后面开始是tcp数据包头,也就是说从2704 badb开始是tcp数据包。

前12个字节是两边的端口号和数据包序列号,最重要的是第13个字节,也就是tcpdump抓取的“8011”,转换成二进制就是“1000 0000 0001 0001”

后面6个字节也就是”010001″ 对应”urg ack psh rst syn fin”,也就是说ACK=1,FIN=1,可以说明这个数据包是将ACK和FIN合并发送的。

 

为了清晰的看见tcp关闭的4次过程,我们修改一下server程序,在connection.close()调用之前,sleep 1秒。

这样的情况下,在进行抓包,我们能看到完成的4次分组数据包。

17:53:07.149572 IP localhost.40583 > localhost.9988: Flags [F.], seq 3147749708, ack 3163302012, win 513, options [nop,nop,TS val 20973985 ecr 20973983], length 0
    0x0000:  4500 0034 d0d6 4000 4006 6beb 7f00 0001  E..4..@.@.k.....
    0x0010:  7f00 0001 9e87 2704 bb9e d94c bc8c 287c  ......'....L..(|
    0x0020:  8011 0201 fe28 0000 0101 080a 0140 09a1  .....(.......@..
    0x0030:  0140 099f                                .@..
17:53:07.153457 IP localhost.9988 > localhost.40583: Flags [.], ack 3147749709, win 512, options [nop,nop,TS val 20973986 ecr 20973985], length 0
    0x0000:  4500 0034 21e3 4000 4006 1adf 7f00 0001  E..4!.@.@.......
    0x0010:  7f00 0001 2704 9e87 bc8c 287c bb9e d94d  ....'.....(|...M
    0x0020:  8010 0200 fe28 0000 0101 080a 0140 09a2  .....(.......@..
    0x0030:  0140 09a1                                .@..
17:53:08.151568 IP localhost.9988 > localhost.40583: Flags [F.], seq 3163302012, ack 3147749709, win 512, options [nop,nop,TS val 20974235 ecr 20973985], length 0
    0x0000:  4500 0034 21e4 4000 4006 1ade 7f00 0001  E..4!.@.@.......
    0x0010:  7f00 0001 2704 9e87 bc8c 287c bb9e d94d  ....'.....(|...M
    0x0020:  8011 0200 fe28 0000 0101 080a 0140 0a9b  .....(.......@..
    0x0030:  0140 09a1                                .@..
17:53:08.152182 IP localhost.40583 > localhost.9988: Flags [.], ack 3163302013, win 513, options [nop,nop,TS val 20974235 ecr 20974235], length 0
    0x0000:  4500 0034 0000 4000 4006 3cc2 7f00 0001  E..4..@.@.<.....
    0x0010:  7f00 0001 9e87 2704 bb9e d94d bc8c 287d  ......'....M..(}
    0x0020:  8010 0201 1f82 0000 0101 080a 0140 0a9b  .............@..
    0x0030:  0140 0a9b                                .@..

不过为什么server在发送FIN的时候还是发送了一个ACK,暂时我也不知道为什么,后面清楚的时候,进行更新。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注