………

В первой строке хост host.ru со своего порта 2200 отправляет на порт http хоста 1.2.3.4 запрос на установку соединения (флаг SYN). Начальный и конечный номера последовательности совпадают, поскольку пользовательская информация при этом не передается. Размер буфера приема – 8192 байта. В угловых скобках передается дополнительная информация, в том числе параметр mss (max segment size), ограничивающий количество пользовательской информации в одном пакете. Признак (DF) сообщает о том, что фрагментация данного пакета запрещена. Хост 1.2.3.4 отвечает пакетом с установленным флагом SYN и флагом подтверждения ACK, вместе с которым передается и номер подтверждения (номер последовательности, который хост 1.2.3.4 будет ожидать в следующем пакете). В третьей строке host.ru отвечает пакетом с флагом ACK (далее нумерация последовательностей относительная, то есть номер 1 означает, что ожидается первый пакет в данном сеансе связи). После этого соединение считается установленным.

В следующем пакете host.ru отправляет пользовательский запрос (500 байт) с установленным флагом очистки буфера PSH, а заодно подтверждает прием предыдущего пакета (установленный флаг ACK). В ответ хост 1.2.3.4 отсылает серию пакетов с запрошенной информацией (первые четыре по 1460 байт (действует ограничение mss, установленное ранее и запрещающее передавать в одном пакете больше 1460 байт пользовательской информации), в последнем – оставшиеся 72 байта). Далее host.ru отсылает подтверждения на полученные пакеты, одновременно открывая еще одно соединение, скорее всего для загрузки изображения, содержащегося на запрошенной странице.

Рассмотрим наиболее полезные параметры программы tcpdump:

n  -c № – завершает работу после получения № пакетов;

n  -e – выводит информацию, содержащуюся в заголовке канального уровня. Данная информация выводится между штампом времени и адресом источника и содержит, в частности, MAC-адреса источника и приемника;

n  -i interface – позволяет прослушивать указанный интерфейс (по умолчанию прослушиваются все активные интерфейсы);

n  -n – все адреса хостов и порты представляются в цифровом виде;

n  -N – не печатать полное доменное имя. Например, если данная опция установлена, то адрес и порт «host.server.ru.http» будут представлены в виде «host.http»;

n  -q – минимизирует выводимую информацию. Результат будет примерно таким:

# tcpdump -c 5 –q

    tcpdump: listening on ed1

    10:30:20.447422 1.2.3.4.ssh > suprunov.host.ru.cadis-2: tcp 20 (DF) [tos 0x10]

    10:30:20.483689 imns.host.ru.1254 > gw-sovm.chtts.ru.ftp-data: tcp 0 (DF)

    10:30:20.527295 gw-sovm.chtts.ru.ftp-data > imns.host.ru.1254: tcp 536 (DF)