利用Wireshark進行TCP協(xié)議分析.doc

1、利用 Wireshark進行 TCP 協(xié)議分析TCP 報文首部，如下圖所示：1. 源端口號：數(shù)據(jù)發(fā)起者的端口號，16bit2. 目的端口號：數(shù)據(jù)接收者的端口號，16bit3. 序號： 32bit 的序列號，由發(fā)送方使用4. 確認序號： 32bit 的確認號，是接收數(shù)據(jù)方期望收到發(fā)送方的下一個報文段的序號，因此確認序號應(yīng)當(dāng)是上次已成功收到數(shù)據(jù)字節(jié)序號加1。5. 首部長度：首部中 32bit 字的數(shù)目，可表示 15*32bit=60 字節(jié)的首部。一般首部長度為 20 字節(jié)。6. 保留： 6bit, 均為 07. 緊急 URG ：當(dāng) URG=1 時，表示報文段中有緊急數(shù)據(jù)，應(yīng)盡快傳送。8. 確認比特

2、ACK ： ACK = 1 時代表這是一個確認的TCP 包，取值0 則不是確認包。9. 推送比特 PSH：當(dāng)發(fā)送端 PSH=1 時，接收端盡快的交付給應(yīng)用進程。10. 復(fù)位比特（ RST）：當(dāng) RST=1 時，表明 TCP 連接中出現(xiàn)嚴重差錯，必須釋放連接，再重新建立連接。11. 同步比特 SYN ：在建立連接是用來同步序號。SYN=1 ， ACK=0 表示一個連接請求報文段。 SYN=1 ， ACK=1 表示同意建立連接。12. 終止比特 FIN ：FIN=1 時，表明此報文段的發(fā)送端的數(shù)據(jù)已經(jīng)發(fā)送完畢，并要求釋放傳輸連接。13. 窗口：用來控制對方發(fā)送的數(shù)據(jù)量，通知發(fā)放已確定的發(fā)送窗口上限

3、。14. 檢驗和：該字段檢驗的范圍包括首部和數(shù)據(jù)這兩部分。由發(fā)端計算和存儲，并由收端進行驗證。15. 緊急指針：緊急指針在 URG=1 時才有效，它指出本報文段中的緊急數(shù)據(jù)的字節(jié)數(shù)。16. 選項：長度可變，最長可達40 字節(jié)TCP的三次握手和四次揮手：第一次握手數(shù)據(jù)包客戶端發(fā)送一個TCP，標(biāo)志位為SYN ，序列號為0， 代表客戶端請求建立連接。如下圖第二次握手的數(shù)據(jù)包服務(wù)器發(fā)回確認包 , 標(biāo)志位為 SYN,ACK. 將確認序號 (Acknowledgement Number) 設(shè)置為客戶的 I S N 加 1 以.即 0+1=1, 如下圖第三次握手的數(shù)據(jù)包客戶端再次發(fā)送確認包(ACK)SYN

4、標(biāo)志位為0,ACK 標(biāo)志位為1.并且把服務(wù)器發(fā)來序號字段 +1,放在確定字段中發(fā)送給對方.并且在數(shù)據(jù)段放寫ISN 的+1, 如下圖 :ACK的四次揮手Four-way Handshake四次揮手用來關(guān)閉已建立的TCP 連接1. (Client) ACK/FIN (Server)2. (Client) ACK (Server)3. (Client) ACK/FIN ACK (Server)第一次揮手：客戶端給服務(wù)器發(fā)送TCP 包，用來關(guān)閉客戶端到服務(wù)器的數(shù)據(jù)傳送。將標(biāo)志位 FIN 和 ACK 置為 1，序號為X=1 ，確認序號為Z=1服務(wù)器收到FIN 后，發(fā)回一個 ACK( 標(biāo)志位 ACK=1), 確認序號為收到的序號加1，即X=X+1=2。序號為收到的確認序號=Z 。服務(wù)器關(guān)閉與客戶端的連接，發(fā)送一個FIN 。標(biāo)志位 FIN 和 ACK 置為 1 ，序號為 Y=1 ，確認序號為 X=2 ?？蛻舳耸盏椒?wù)器發(fā)送的