利用Wireshark進(jìn)行TCP協(xié)議分析

1、利用 Wireshark進(jìn)行TCP協(xié)議分析TCP報(bào)文首部，如下圖所示:1.源端口號(hào)：數(shù)據(jù)發(fā)起者的端口號(hào)，16bit2. 目的端口號(hào)：數(shù)據(jù)接收者的端口號(hào)，16bit3. 序號(hào)：32bit的序列號(hào)，由發(fā)送方使用4. 確認(rèn)序號(hào)：32bit的確認(rèn)號(hào)，是接收數(shù)據(jù)方期望收到發(fā)送方的下一個(gè)報(bào)文段的序號(hào)，因此確認(rèn)序號(hào)應(yīng)當(dāng)是上次已成功收到數(shù)據(jù)字節(jié)序號(hào)加1。5. 首部長(zhǎng)度：首部中 32bit字的數(shù)目，可表示15*32bit=60字節(jié)的首部。一般首部長(zhǎng)度為20字節(jié)。6保留：6bit,均為07. 緊急URG :當(dāng)URG=1時(shí)，表示報(bào)文段中有緊急數(shù)據(jù)，應(yīng)盡快傳送。8. 確認(rèn)比特ACK : ACK = 1時(shí)代表這是一個(gè)確

2、認(rèn)的 TCP包，取值0則不是確認(rèn)包。9. 推送比特PSH :當(dāng)發(fā)送端PSH=1時(shí)，接收端盡快的交付給應(yīng)用進(jìn)程。10. 復(fù)位比特（RST）:當(dāng)RST=1時(shí)，表明TCP連接中出現(xiàn)嚴(yán)重差錯(cuò)，必須釋放連接，再 重新建立連接。11. 同步比特SYN :在建立連接是用來(lái)同步序號(hào)。SYN=1，ACK=0表示一個(gè)連接請(qǐng)求報(bào)文段。SYN=1 , ACK=1表示同意建立連接。12. 終止比特FIN : FIN=1時(shí)，表明此報(bào)文段的發(fā)送端的數(shù)據(jù)已經(jīng)發(fā)送完畢，并要求釋放傳 輸連接。13. 窗口：用來(lái)控制對(duì)方發(fā)送的數(shù)據(jù)量，通知發(fā)放已確定的發(fā)送窗口上限。14. 檢驗(yàn)和：該字段檢驗(yàn)的范圍包括首部和數(shù)據(jù)這兩部分。由發(fā)端計(jì)算和

3、存儲(chǔ)，并由收端進(jìn) 行驗(yàn)證。15. 緊急指針：緊急指針在 URG=1時(shí)才有效，它指出本報(bào)文段中的緊急數(shù)據(jù)的字節(jié)數(shù)。16. 選項(xiàng)：長(zhǎng)度可變，最長(zhǎng)可達(dá) 40字節(jié)TCP的三次握手和四次揮手:第一次握手?jǐn)?shù)據(jù)包.1Ti 5vl. z 267 Cli ?nr HpI 1 n客戶(hù)端發(fā)送一個(gè) TCP,標(biāo)志位為SYN，序列號(hào)為0，代表客戶(hù)端請(qǐng)求建立連接。如下圖-FW_rj- i_r n-wr/ 亠丄6GDMS73 standard query 0x0e4e a bcl. jrxwxm. comL03DNS23Z standard query r eaponse QxOee a izs,501鄉(xiāng)5.丄+ 1TCP6

4、6 53907-443 SYN Seq=O Win=0192 Len=D MSS=1460 WS=25 5ACK_F+ 1TCP66 5390X4廠血U1 上単92 Len=0 MSS=146O W5=256 5ACK_FL03TCP師 44 J-KS3&OS¥NCKeqHck-l Wi D-14600 Lert-0 MSS-144Q S.1tcp&4 5907-443 ack 5eq=l Ack=l wirt=66048 Len=O1TI. SV1. i?67 Cli pnt HpI1n103TCPC6 44 3-53903 SYN, ACK Seq-Q Aclk-

5、1 Wln=lJ6Q0 Len-0 MSS-144 0 STCP54 53908-413 ACK £cq-l Ack-1 Win-660J8 Lcn-0*1TLSVl.；267 Client HelloL03TCP60 44 3-k53907 ACK 5eq-l Ack-214 win-15CB0 Lefl-QL03TCP60 443*53903 ACK Sq-1 Ack-214 Win-15680 Len-01 CHTH茸W51404 Sprvpr Hfll 1 n |Vjii i 6GDNS73 stancard query0x0e4e a bd. irxwxm, comL03D

6、NSZ3Z standard queryresponse QxQee a56.136.1TCP更 53907-4435YN5eq=C> Win=6193 Len=D 155=1460 桁=2薊 5ACK f.1| ILF |師 53908-443synJ5eq=0 Win=0192 Len=D M55=14S0 W5=25C 5ACK FLOS| TCP|66 44 J-53907SYN,ACK. seq=o Ack=l wi n=14600 Len=0 MS5=144 0 5.1tcp54 5907-443心5eq=l Ack=l wi rt=66048 Len=OLdFDACK Se

7、q-Q Ack-1 Win=lJ600 Len-0 MSS-14J0 s saq-l Ack-1 wi r-660J8 Lcn-0103TCPL03TCPGO 44 35390? ACK 5eq-l Ack-214 Win-LSCBO L&fi-O60 443*53903 ACK Seq-1 Ack-214 Win-15680 Len-01 0耳TI 呂. 7=4 04 «匚呼匚 Hflljnsource Port: 5390B C539O0) Dsstination Part: 443 043 stream index: 1fcequence nuirber: 03 Tra

8、nami ssion control protocol, 5rc Port: 53905 (53908J, DST Forx: (relative sequence number :0± . . . . 0000 0000 0010 = Flags： OXOQ2|(£VNHeader Length: 32 bytesWi ndow size value: 8102cal cul*ted window wP疋已；S192 a checksum: OxC37O validaciQn disabledurgent pointer: 0i4- nnr nn -? hrr 戶(hù)吧、 M

9、?i¥-imi im 烷anrrorTT 喘彳丁戸 Nn-Ctripr at-i nn hir)P*i u第二次握手的數(shù)據(jù)包服務(wù)器發(fā)回確認(rèn)包,標(biāo)志位為 SYN,ACK.將確認(rèn)序號(hào)(Acknowledgement Number)設(shè)置為客 戶(hù)的I S N加1以即 0+1=1,如下圖Desrinarion GeoiP： unknown-i Transmission central Protocol, sre Port: 443 (44S) T Dst Port: 53907 (53907) . seSource Port: 443 (443)f SYN , AC<) 1ati e s

10、equence nunber) frel atH ve ack njmberDestination Port: 53907 C539O7) strea-n index: 0 TCP 血電nt |_甲一 semjencnumbeHeader Lengtr:a Dnes0000 0001 0010 =匚 1 ags : CxOliwindow size value: 14600Cal cul ated ndow size: 14 6OC u)E checksum: 0x5009 val i dation ci sabl ed第三次握手的數(shù)據(jù)包客戶(hù)端再次發(fā)送確認(rèn)包（ACK） SYN標(biāo)志位為0,ACK

11、標(biāo)志位為1并且把服務(wù)器發(fā)來(lái) ACK的 序號(hào)字段+1,放在確定字段中發(fā)送給對(duì)方 并且在數(shù)據(jù)段放寫(xiě)ISN的+1,如下圖：d Transmission Control protocol P Src Port: 5 390752907), Dst Port! 44.Source Port: 53907 (5397)Dest5natlon Port: 443 <44 3)Stream Index: 0ve sequence number) relative ark number)TCP segment LenX sequence n0x010 Q000 Q001000 = Flags:window

12、 size value: 25BACkncwledgmerit number Header Lengih: 20 bytcalculated windaw size; 66C4S rwindow si ze seal i nc factor; 2561四次揮手 Four-way Handshake四次揮手用來(lái)關(guān)閉已建立的TCP連接TCP四次揮手客戶(hù)端算戶(hù)端發(fā)爲(wèi)冋附ACK抿文.幷曽發(fā)世嚇號(hào)為X決務(wù)用發(fā):區(qū)ACK按0并胃發(fā)送序號(hào) 為斗確認(rèn)序巧為X”出器用丹送FIN4UK 報(bào)文,并冑發(fā)送存號(hào) 為虬翩只再號(hào)溝廉F齊戶(hù)端九謹(jǐn)AGK悵 丸并置牌送序E為*1確認(rèn)序號(hào)為WM1. (Client) - >

13、 ACK/FIN - > (Server)2. (Client) < - ACK < - (Server)3. (Client) < - ACK/FIN < - (Server)4. (Client) - > ACK - > (Server)第一次揮手：客戶(hù)端給服務(wù)器發(fā)送TCP包，用來(lái)關(guān)閉客戶(hù)端到服務(wù)器的數(shù)據(jù)傳送。將標(biāo)志位FIN和ACK置為1，序號(hào)為X=1，確認(rèn)序號(hào)為 Z=1No.TiimeSourceDestinationProf6強(qiáng)五91 芮時(shí)010 25昭.12&10.24*32T口6347 14.9166410 10. 24- 32-

14、526TCF6348 14.9166420 10. 24- 32_ 526TCP(+ Frame 634 6: 54 byt«5 qh wire (4 32 bits) , 54 byx es ciptur e Ft- Ethernet II t src; newl ettP_Ob; ad; 52 (x; 16 ; 2d; Ob;盤(pán)；52) * S inrernex Protocol version 4 src: 10. 25.67* 126 CIO. 25. 67. t Transmiss-! an corttral Protocol,

15、src Port: 63Z25 (&372G)( C 5ource port: 63726 (63726) e5fi nar I on port: htr p (BO)strearn i ndex; 10915eauerKjufflbel(rel at i ve sequence number)品益Te<Jgin電電廠 1 (relate ve ack number "TieaSeTTnaTTK id bvteswindow size value:calculared window si2e: 2 57window 51 ze =匚 al 1 ng fact or :

16、-1 (unknown) -i checksuin; 0x77fd val 1 dation disabledGood checksum: FalssBid checksum: False服務(wù)器收到FIN后，發(fā)回一個(gè)ACK（標(biāo)志位ACK=1）,確認(rèn)序號(hào)為收到的序號(hào)加 1 ,即X=X+1=2 。序號(hào)為收到的確認(rèn)序號(hào)=Z 。i+QETherret II, src: Cl sco_23: df :43 (LB: 33: 9d; 23: df ：if3) , Dsr: HE interret ProTocol version 4 t src: W. 24. JZ, 52 CIO- 24. 33, 52

17、 t Transmitsion control Protoco'l , src Part: http C80), Dst Port: source port: hrrp1 (raris&qu&nce number)(r el ative ack numberresxiraTlon port: 63726 (637?6) rstreni index: 1091AO5 ： 0x010 (ACK.) I naow size value: 65079lAcknowledgment number; 2W1calculared wnndovr 52e: 6079 Window si

18、;e sca11ng factor: -1 unknown)：L checksum: OxidZl validafion diiabled toed checksum: False Ead checksum: Fa.1 sei- seq/ack analysls This is£0SQQfn旦口匸 ifl更3£國(guó)1Th rtt to ack the sequent was:000954000 seconds服務(wù)器關(guān)閉與客戶(hù)端的連接，發(fā)送一個(gè)FIN。標(biāo)志位FIN和ACK置為1，序號(hào)為丫=1，確認(rèn)序號(hào)為X=2。電占時(shí)燈址憶“ port : 63726 (6726)Stream -index 109egygncwfljbeiCrelat'i ve sequence number)丸 t knovJ 電 dgmmivt number: 2 (rel ati ve ack number)FJags： 0x011 (FIN,