4,357
社区成员
发帖
与我相关
我的任务
分享TCP 3次握手 MAC分析
tcpdump -i eth0 -nn -X -e port 9010
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
03:16:21.727402 7e:e8:8c:a6:3e:22 > 00:00:5e:00:01:6e, ethertype IPv4 (0x0800), length 66: 167.71.156.49.29775 > 157.245.121.35.9010: Flags [S], seq 763495115, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
....
03:16:21.805106 9c:cc:83:8d:78:74 > 7e:e8:8c:a6:3e:22, ethertype IPv4 (0x0800), length 66: 157.245.121.35.9010 > 167.71.156.49.29775: Flags [S.], seq 636224093, ack 763495116, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
....
03:16:21.805179 7e:e8:8c:a6:3e:22 > 00:00:5e:00:01:6e, ethertype IPv4 (0x0800), length 54: 167.71.156.49.29775 > 157.245.121.35.9010: Flags [.], ack 1, win 115, length 0
7e:e8:8c:a6:3e:22 本机167.71.156.49 对应MAC
00:00:5e:00:01:6e 本机网关MAC
两台云主机都有公网IP,tcpdump抓包,发现3次握手上面的MAC地址不一样,谁能给解释下?为啥SYN ACK不经过网关MAC
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
03:16:21.727402 7e:e8:8c:a6:3e:22 > 00:00:5e:00:01:6e, ethertype IPv4 (0x0800), length 66: 167.71.156.49.29775 > 157.245.121.35.9010: Flags [S], seq 763495115, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
....
03:16:21.805106 9c:cc:83:8d:78:74 > 7e:e8:8c:a6:3e:22, ethertype IPv4 (0x0800), length 66: 157.245.121.35.9010 > 167.71.156.49.29775: Flags [S.], seq 636224093, ack 763495116, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 8], length 0
....
03:16:21.805179 7e:e8:8c:a6:3e:22 > 00:00:5e:00:01:6e, ethertype IPv4 (0x0800), length 54: 167.71.156.49.29775 > 157.245.121.35.9010: Flags [.], ack 1, win 115, length 0
7e:e8:8c:a6:3e:22 本机167.71.156.49 对应MAC
00:00:5e:00:01:6e 本机网关MAC
两台云主机都有公网IP,tcpdump抓包,发现3次握手上面的MAC地址不一样,谁能给解释下?为啥SYN ACK不经过网关MAC
...全文
请发表友善的回复…
发表回复
Iforgetmyid 2019-09-29
- 打赏
- 举报
三层交换机?如果这两个网是通过三层交换机做路由的话,我想应该会出现这种现象。因为你是在发起端抓的包,所以发起端发起SYN和ACK的时候,由于是跨网段的,因此包都是发给你的网关的,但是对端回SYN+ACK的时候,由于是三层交换机,三层交换机是一次路由, 多次转发,它会发现目的地的IP地址、MAC地址和端口对应关系已经存在,所以会直接转发过来,而不是再路由一次,所以过来的包,源MAC地址就是对端的MAC地址,而不是你的网关地址。 你在对端电脑上去抓一次包,应该和这个是反起来的。
Iforgetmyid 2019-09-29
- 打赏
- 举报
三层交换机?如果是这两个网是通过三层交换机做路由的话,我想应该会出现这种现象。你在发起端抓的包,发起端发起SYN和ACK的时候,由于是跨网段的,所以包都是先发给你的网关的,但是对端回SYN+ACK的时候,由于是三层交换机是一次路由, 多次转发,它会发现目的地的MAC地址和端口对应关系已经存在,所以会直接转发过来,而不是再路由一次,所以过来的包,源MAC地址就是对端的MAC地址,而不是你的网关地址。
