一说到抓包，好像有点高深莫测，其实在工作中，大部分是应用发生异常时需要抓包，以此来分析原因，Linux下一般用tcpdump命令抓包，而使用tcpdump其实常用的参数也就那么几个

第一行: 客户端172.16.196.142，端口41336向服务端172.16.196.145端口60000发起SYN主动请求，seq:3255498564第二行: 服务端172.16.196.145.60000给客户端172.16.196.142.41336确认ACK ack为3255498564+1=3255498565，并同时也发起SYN同步第三行: 客户端回复服务端的SYN确认，三次握手建立连接第四行: 客户端调用s.send('...

在用tcpdump抓包时，发现前面两次握手的seq和ack能对应起来，但是第三次由客户端发起的确认ack值为1，熟悉tcp三次握手的都知道，ack的值是对方的seq+1，第三次握手的ack值不应该是1，测试抓了各种端口的tcp包发现都是这样，难道是因为tcp协议改动了？