tcpdump入门——每种flag分别表示什么意思

在 tcpdump 的输出中，TCP 标志位（Flags）通常用简写字符表示。以下是每种 TCP 标志位的含义及其对应的简写字符：

TCP 标志位及其简写

1. SYN (Synchronize)

   • 作用：用于初始化连接。
   • 简写字符：S

2. ACK (Acknowledgment)

   • 作用：确认收到的数据包。
   • 简写字符：. （表示只有 ACK 标志位被设置时）

3. FIN (Finish)

   • 作用：用于终止连接。
   • 简写字符：F

4. RST (Reset)

   • 作用：重置连接。
   • 简写字符：R

5. PSH (Push)

   • 作用：表示需要立即将数据推送给接收应用程序。
   • 简写字符：P

6. URG (Urgent)

   • 作用：表示包中有紧急数据，需优先处理。
   • 简写字符：U

7. ECE (ECN Echo)

   • 作用：用于显式拥塞通知（ECN）机制，表明包中存在 ECN 信息。
   • 简写字符：E

8. CWR (Congestion Window Reduced)

   • 作用：表示发送方已响应接收方的 ECN 标志并减小拥塞窗口。
   • 简写字符：W

9. NS (Nonce Sum)

   • 作用：防止伪造的 ECN 标志。
   • 简写字符：N

示例解析

在 tcpdump 的输出中，标志位通常会以方括号中的字符形式出现。例如：

10:25:43.220467 IP 192.168.1.100.35764 > 192.168.1.1.80: Flags [S], seq 0, win 65535, options [mss 1460], length 0
10:25:43.220497 IP 192.168.1.1.80 > 192.168.1.100.35764: Flags [S.], seq 0, ack 1, win 65535, options [mss 1460], length 0
10:25:43.220517 IP 192.168.1.100.35764 > 192.168.1.1.80: Flags [.], ack 1, win 65535, length 0

• [S] 表示 SYN 标志位被设置。
• [S.] 表示 SYN 和 ACK 标志位同时被设置。
• [.] 表示 ACK 标志位被设置。

通过理解这些标志位和对应的简写字符，你可以更容易地分析和理解 tcpdump 抓取的 TCP 流量。