利用tcpdump分析工具来验证tcp连接的建立和关闭过程

　　本文要求读者在阅读之前应该对TCP通过三次握手建立和关闭连接有一定的了解，本文并没有详细讲解三次握手，只是通过一个实例对三次握手进行了一下验证。

　　tcp连接的建立和关闭想必大家都已经非常熟悉了！通过三次握手建立连接和通过三次或者四次(半关闭)握手来关闭连接！在这里，我想通过一个具体的实例程序，来分析一下这个过程！

　　首先说用到的工具吧，linux下的tcpdump命令，和自己用c语言写的一个服务器端和一个客户端程序。程序的代码如下：

　　头文件：

 #include<stdio.h>
 #include<stdlib.h>
 #include<sys/types.h>
 #include<sys/socket.h>
 #include<netinet/in.h>
 #include<netdb.h>
 #include<errno.h>
 #include<signal.h>
 #include<unistd.h>
 #include<string.h>
 #include<sys/wait.h>
 #include<arpa/inet.h>

Header

　　服务器端：

 #include"header.h"
 int main(int argc,char *argv[])
 {
     int socket_n;    //套接字描述符
     int listen_s;    //监听套接字描述符
     socklen_t cli_addr_len;            //客户端地址长度
     struct sockaddr_in server_addr; //服务器地址
     struct sockaddr_in client_addr; //客户端地址

     int n=;        //接受到的数据长度
     char buffer[];    //数据缓冲区
     int maxLen=sizeof(buffer);
     memset(buffer,,maxLen);
     char cli_addr[];

     //回创建监听套接字
     listen_s=socket(AF_INET,SOCK_STREAM,);

     //创建本地服务器套接字
     memset(&server_addr,,sizeof(server_addr));
     server_addr.sin_family = AF_INET;
     server_addr.sin_addr.s_addr = htonl(INADDR_ANY);
     server_addr.sin_port=htons();

     //将套接字绑定到本地套接字地址
     if(bind(listen_s,(struct sockaddr *)&server_addr,sizeof(server_addr)) < )
     {
         perror("Error:binding failed!");
         exit();
     }
     //监听链接请求
     if(listen(listen_s,maxLen) < )
     {
     perror("Error:listening failed!");
     exit();
     }

     while()
     {
     if((socket_n=accept(listen_s,(struct sockaddr *)&client_addr,&cli_addr_len)) < )
     {
         perror("Error:accepting failed!");
         exit();
     }
     read(socket_n,buffer,maxLen);
     inet_ntop(AF_INET,&client_addr.sin_addr,cli_addr,sizeof(cli_addr));
     printf("%s sent %s",cli_addr,buffer);
     write(socket_n,buffer,strlen(buffer));
     printf("刚刚建立的连接即将关闭\n");
     close(socket_n);
     }
     return ;
 }

Server

　　客户端：

 #include"header.h"
 int main(int argc,char *argv[])
 {
     int sockfd;
     char buffer_s[];
     char buffer_r[];
     struct sockaddr_in servaddr;

     memset(buffer_r,,sizeof(buffer_r));
     memset(buffer_s,,sizeof(buffer_s));

     if(argc != )
     {
     printf("usage : client <IP address>!");
     exit();
     }

     sockfd = socket(AF_INET,SOCK_STREAM,);

     memset(&servaddr,,sizeof(servaddr));
     servaddr.sin_family = AF_INET;
     servaddr.sin_port = htons();
     inet_pton(AF_INET,argv[],&servaddr.sin_addr);

     connect(sockfd,(struct sockaddr *)&servaddr,sizeof(servaddr));

     while(fgets(buffer_s,,stdin) != NULL)
     {
     write(sockfd,buffer_s,strlen(buffer_s));
     if(read(sockfd,buffer_r,) == )
     {
         printf("client:server terminated prematurely");
     }
     fputs(buffer_r,stdout);
     }

     return ;
 }

Client

　　tcpdump用的命令是这句：

tcpdump -i lo tcp port  and host 127.0.0.1

　　这条命令表示，我抓取lo网卡(环回接口)上ip为127.0.0.1且端口号为9877(这个9877是我的程序中服务器绑定的接口)的包！

　　运行的结果如下图：

　　

　　客户端发送一个"a\n"给服务器，并且接收到一个"a\n"；

　　

　　这个截的图有点多了，这个与本文有关的部分就是最底下的从./server 开始的部分，服务器接受到一个"a\n",回传给客户端之后立刻将这个连接关闭，并且提示"刚刚建立的连接即将关闭"！

　　

　　这个是抓包软件抓到的图，这个就得好好分析分析了！

　　首先需要说明几点的是，这个分析是从那个15：32：38.348872开始，那个38264表示的是客户端的端口号，9877表示的是服务器的端口号，关于有些包的符号位(图中flags部分)中应该有ACK这个标志，可是具体没有显示，我认为可能是tcpdump省略了，还有些包中的SYN符号(用一个S表示)也可能省略了。另外需要说明的一点是服务器和客户端的序号应该都是随机数，可是连接建立之后就自动从1开始，我认为这个是tcpdump这个软件自动进行了计算！

　　第一条信息表示客户端发送给服务器一个包，其序号seq为598232472，标志位为SYN，就是建立连接的第一次握手。客户端发送自己的序号。

　　第二条信息表示服务器发送给客户端一个包，其序号seq为3283581888，确认号为5982324272，标志位为SYC（理论上还应该有ACK，可能这里没有显示出来），这就是建立连接的第二次握手，服务器发送这边的序号，并对客户端的序号进行确认。

　　第三条信息表示客户端发送给服务器一个包，没有序号，确认号为1（我认为这里是tcpdump这个抓包软件进行了处理），表示想要从服务器接受第一个字节，到这里，三次握手已经完成，客户端到服务器的连接已经建立。

　　第四条信息表示客户端发送两个字节的信息给服务器，序号seq为1，确认号为1。标志位为PSH（表示不在窗口里面缓存，直接交给应用程序）。

　　第五条信息表示服务器对客户端发送的信息表示确认，确认号为3，没有序号。

　　第六条信息表示服务器发送给客户端两个字节的信息，序号为1，确认号为3.符号位为PSH。

　　第七条信息表示服务器发送给客户端一个连接终止的FIN信息。序号为3，确认号为3，从这里开始了连接关闭的三次握手过程。（这里是服务器主动关闭的，所以三次握手就变成了二次握手～～）。

　　第八条信息表示客户端发送给服务器的一个确认信息，确认号为3，表示对服务器发送的那两个字节的确认。

　　第九条信息表示客户端发送一个确认信息给服务器，确认号为4，表示对服务器发送的FIN终止信息进行确认，至此，那个TCP连接也就关闭了。

　　OK，这就是三次握手的实例，希望能够帮助大家更好地理解三次握手这个过程。