抓包实战系列第 7 篇。上一篇我们把 TCP 三次握手放进抓包里看：SYN、SYN+ACK、ACK，序列号、确认号、MSS、Window Scale。今天继续看 TCP 连接的另一头：连接关闭。理论上叫四次挥手，但真实抓包里，它不总是整整齐齐四个包。开场：为什么你抓到的“四次挥手”不像四次？很多人学 TCP 关闭连接时，脑子里有一张标准图：FIN ACK FIN ACK四个包。很整齐。像教科书排队做操。但真实抓包一看，事情经常不那么规整：FIN, ACK FIN, ACK ACK或者：FIN, ACK ACK 一段数据 FIN, ACK ACK再或者，根本没有 FIN，直接来一个：RST于是很多人开始怀疑：我是不是抓漏了？四次挥手为什么只有三个包？谁是主动关闭方？TIME-WAIT 到底该出现在谁身上？CLOSE-WAIT 是不