我寫了一個程式 伺服端埠口為56 客戶端埠口為50940 客戶端經過一台debian後才連上伺服端 所以我在debian執行 tcpdump -i eth1 port 56 -X 想來檢視封包 ----------------------------------------------------------------- 以下為執行結果(省略IP 和 轉換16進制結果 還有一些雜項) Flags[P.],seq 2822168822:2822168823,ack 1877229707,win256,length 1 0x0000: 4500 0029 1340 4000 7f06 5e13 c0a8 0913 0x0010: c0a8 0018 0038 c6fc a836 e0f6 efe4 408b 0x0020: 5018 0100 ed7d 0000 36 Flags[.],ack 1,win 256,length 0 0x0000: 4500 0028 3987 4000 8006 36cd c0a8 0018 0x0010: c0a8 0913 c6fc 0038 6fe4 408b a836 e0f7 0x0020: 5010 0100 2386 0000 0000 0000 0000 ----------------------------------------------------------------- 想問的是: 1. 第一個封包最後的36,6是伺服端發送過來的內容,3有什麼含意?(我真的不知道..) 2. 看了TCP標頭格式,前32bit是 來源埠口 和 目的地埠口 , 封包中間的"0038 c6fc"卻又剛好是兩端埠口,因為找不到文章才上板求助 雖然wireshark明顯好用,不過我還是想了解tcpdump(傻 先謝謝回覆了 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 211.72.81.240 ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1436860365.A.440.html