TCP 三次握手、四次挥手与抓包定位

很多“访问慢”最终都落在 TCP：SYN 重传、窗口太小、丢包重传、FIN/RST 行为异常。

1. 三次握手的关键点

• SYN：请求建立连接（携带初始序列号）
• SYN/ACK：同意并确认
• ACK：确认完成

常见异常：

• SYN 多次重传：路径丢包/防火墙丢弃/服务端未监听
• 握手后立刻 RST：四层 OK，但应用未接受或被中间设备重置

2. 四次挥手与 TIME_WAIT

• 主动关闭方最后进入 TIME_WAIT，避免旧报文影响新连接
• TIME_WAIT 多并不一定是问题，但可能提示短连接太多或端口耗尽风险

3. 快速抓包思路

tcpdump -i any -nn 'host <ip> and tcp port 443'

分析顺序：

1) 是否有 SYN 出去
2) 是否有 SYN/ACK 回来
3) 是否有 TLS ClientHello 继续发出