CDLinux用tcpdump或wireshark抓包，用户访问网站时系统自动监听流量，发现连接建立就抓握手包，显示源IP端口时间等信息。比如访问百度，CDLinux会抓到客户端发SYN包，服务器回SYN-ACK包，这两个包合并成握手包，能看到双方IP和端口。

为什么这样抓？因为TCP三次握手是建立连接的基础。当用户点击网页，CDLinux的抓包工具实时监听0.0.0.0:9999端口，只要检测到SYN包就记录下来。比如抓到源IP192.168.1.100，端口54321，目标IP110.242.68.66，端口80，时间2023-10-05 14:30:15，数据包长度20字节。这些数据能看出客户端先发SYN包（1字节数据），服务器回SYN-ACK包（3字节数据），合并后总长度24字节。但可能把“端口”说成“端口号”，或把“数据包长度”记成“数据包长度字节数”，所以实际记录可能有“端口80，数据包长度20字节数”这样的口误。