• tcp三次握手

             傳送端傳送一個SYN=1，ACK=0標誌的資料包給接收端，請求進行連線，這是第一次握手；接收端收到請求並且允許連線的話，就會發送一個SYN=1，ACK=1標誌的資料包給傳送端，告訴它，可以通訊了，並且讓傳送端傳送一個確認資料包，這是第二次握手；最後，傳送端傳送一個SYN=0，ACK=1的資料包給接收端，告訴它連線已被確認，這就是第三次握手。之後，一個TCP連線建立，開始通訊。

• tcp連線狀態
  

              SYN：同步標誌。同步序列編號(Synchronize Sequence Numbers)欄有效。該標誌僅在三次握手建立TCP連線時有效。它提示TCP連線的服務端檢查序列編號，該序列編號為TCP連線初始端(一般是客戶端)的初始序列編號。在這裡，可以把 TCP序列編號看作是一個範圍從0到4，294，967，295的32位計數器。通過TCP連線交換的資料中每一個位元組都經過序列編號。在TCP報頭中的序列編號欄包括了TCP分段中第一個位元組的序列編號。

               ACK：確認標誌。確認編號(Acknowledgement Number)欄有效。大多數情況下該標誌位是置位的。TCP報頭內的確認編號欄內包含的確認編號(w+1，Figure-1)為下一個預期的序列編號，同時提示遠端系統已經成功接收所有資料。

               RST：復位標誌。復位標誌有效。用於復位相應的TCP連線。

               URG：緊急標誌。緊急(The urgent pointer) 標誌有效。緊急標誌置位，

               PSH：推標誌。該標誌置位時，接收端不將該資料進行佇列處理，而是儘可能快將資料轉由應用處理。在處理 telnet 或 rlogin 等互動模式的連線時，該標誌總是置位的。

               FIN：結束標誌。帶有該標誌置位的資料包用來結束一個TCP回話，但對應埠仍處於開放狀態，準備接收後續資料。

        .TCP的幾個狀態對於我們分析所起的作用。在TCP層，有個FLAGS欄位，這個欄位有以下幾個標識：SYN, FIN, ACK, PSH, RST, URG.其中，對於我們日常的分析有用的就是前面的五個欄位。它們的含義是：

1.   SYN表示建立連線
2. FIN表示關閉連線
3. ACK表示響應
4. PSH表示有 DATA資料傳輸
5. RST表示連線重置

         其中，ACK是可能與SYN，FIN等同時使用的，比如SYN和ACK可能同時為1，它表示的就是建立連線之後的響應，如果只是單個的一個SYN，它表示的只是建立連線。TCP的幾次握手就是通過這樣的ACK表現出來的。但SYN與FIN是不會同時為1的，因為前者表示的是建立連線，而後者表示的是斷開連線。RST一般是在FIN之後才會出現為1的情況，表示的是連線重置。一般地，當出現FIN包或RST包時，我們便認為客戶端與伺服器端斷開了連線；而當出現SYN和SYN＋ACK包時，我們認為客戶端與伺服器建立了一個連線。PSH為1的情況，一般只出現在 DATA內容不為0的包中，也就是說PSH為1表示的是有真正的TCP資料包內容被傳遞。TCP的連線建立和連線關閉，都是通過請求－響應的模式完成的。

• tcp常見錯誤狀態

1. Tcp previous segment lost（tcp先前的分片丟失）
2. Tcpacked lost segment（tcp應答丟失）
3. Tcp window update（tcp視窗更新）
4. Tcp dup ack（tcp重複應答）
5. Tcp keep alive（tcp保持活動）
6. Tcp retransmission（tcp重傳）
7. Tcp ACKed unseen segument （tcp看不見確認應答）
8. tcp port numbers reused（tcp埠重複使用）
9. tcp retransmission（tcp重傳）
10. tcp fast retransmission (tcp快速重傳)
11. TCP Previoussegment lost（傳送方資料段丟失）
12. tcp spurious retransmission(tcp偽重傳)
    

• tcp抓包工具tcpdump和wireshark

              在linux下tcpdump是一個很強大的tcp抓包工具，但是由於linux分析不方便，因此可以將抓包資料儲存到.cap檔案中，然後在windos下使用wireshark進行分析，非常方便。

• tcpdump抓包命令

tcpdump tcp -i eth2 -s 0 and port 20058  -w /home/pjroot/attence.cap

tcpdump tcp -i eth2 -t -s 0 -c 100 and port 20058  -w /home/pjroot/attence.cap

tcpdump tcp -i eth2 -s 0 and port 20058 and host 125.77.252.211 -w ./attence.cap

-i eth2 指定資料包經過的網絡卡

  -s 0 抓取資料包時預設抓取長度為68位元組。加上-S 0 後可以抓到完整的資料包

  port  指定埠 可以加上src 和dst表示現在為源埠還是目的埠

  host 指定主機可以加上src和dst表示源地址還是目的地址

  -w 表示要寫入到檔案中

  -t 表示不顯示時間戳

   -c 100 表示只抓取初始的100個數據包

列印所有進入或離開sundown的資料包.

tcpdump host sundown

也可以指定ip,例如截獲所有210.27.48.1 的主機收到的和發出的所有的資料包

tcpdump host 210.27.48.1 

列印helios 與 hot 或者與 ace 之間通訊的資料包

tcpdump host helios and \( hot or ace \)

截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 

列印ace與任何其他主機之間通訊的IP 資料包, 但不包括與helios之間的資料包.

tcpdump ip host ace and not helios

如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通訊的ip包，使用命令：

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

截獲主機hostname傳送的所有資料

tcpdump -i eth0 src host hostname

監視所有送到主機hostname的資料包

tcpdump -i eth0 dst host hostname

如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令

tcpdump tcp port 23 and host 210.27.48.1

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 為"GET"前兩個字母"GE",0x4854 為"HTTP"前兩個字母"HT"。

• tcpudp命令引數說明

    -i any : 監聽所有介面
    -n : 不解析主機名
    -nn : 不解析主機名和埠名
    -X : 以16進位制和ascii格式顯示包
    -XX : 和-X一樣，但會顯示乙太網頭
    -v, -vv, -vvv : 獲取包含資訊量更多的包
    -c : 獲取指定數量的包，達到該數量後tcpdump停止
    -S : 顯示絕對序列號
    -e : 獲取乙太網頭
    -q : 顯示少量的協議資訊
    -E : 通過金鑰來解密IPSEC互動
    -s : 設定snaplength(snaplength是抓取的位元組數)

    - host // 根據ip地址查詢互動(不用"-n"也能根據主機名查詢互動)
    # tcpdump host 1.2.3.4

    - src,dst // 找出指定源地址或目的地址的互動
    # tcpdump src 2.3.4.5
    # tcpdump dst 3.4.5.6

    - net // 根據網路號抓取整個網路
    # tcpdump net 1.2.3.0/24

    - proto // 工作在tcp,udp,和icmp。注意你不用必須輸入proto。
    # tcpdump icmp

    - port // 檢視經過指定埠的互動
    # tcpdump port 3389

    - src,dst port // 找出指定源埠或目的埠的互動
    # tcpdump src port 1025
    # tcpdump dst port 389

    - src/dst, port, protocol // 將三個聯合在一起
    # tcpdump src port 1025 and tcp
    # tcpdump udp and src port 53

    你也可以用選項來找出多個埠而不用一一指定，也可以僅檢視大於或小於某一位元組大小的包。
    - Port Ranges // 檢視經過範圍內埠的互動
    tcpdump portrange 21-23
   
    - Packet Size Filter // 檢視大於或小於某一位元組大小的包
    tcpdump less 32
    tcpdump greater 128

    也可以用符號來代替
    tcpdump > 32
    tcpdump <= 128

    寫到一個檔案
    tcpdump用"-w"選項可以將抓到的內容存入檔案，再用"-r"選項讀回來，這個功能非常好，可以抓取原始互動之後再用其他工具執行它。
    以這種方式抓取到的互動會存成tcpdump格式的檔案，現在網路分析圈內基本都用這種格式，因此檔案可以被所有工具讀取，包括Wireshark, Snort等。
    - 抓取所有經過埠80的互動存入一個檔案
    # tcpdump -s 1514 port 80 -w capture_file
    - 以後可以再讀回來
    # tcpdump -r capture_file

    更多的例子
    # 從10.5.2.3到埠3389的tcp互動
    tcpdump -nnvvS and src 10.5.2.3 and dst port 3389
    # 從網路192.168到網路10或172.16的互動
    tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
    # 從192.168.0.2到網路172.16的非icmp互動
    tcpdump -nvvXSs 1514 dst 192.168.0.2 and src net and not icmp
    # 從Mars或Pluto到非SSH埠的互動
    tcpdump -vv src Mars or Pluto and not dst port 22

    分組
    如果你試圖執行這個本來非常有用的命令，因為括號的原因會報錯，可以對括號進行轉義(前面加"/")或者將整個命令放在單引號中:
    # 從10.0.2.4到埠3389或22的互動(正確的表達)
    tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'