實驗五 TCP 的連接及釋放過程分析

1、實驗五 TCP 的連接及釋放過程分析【實驗?zāi)康摹?. 掌握 TCP 連接建立的三次握手工作原理；2. 理解 TCP 連接釋放的四次握手工作原理?！緦嶒灜h(huán)境】與因特網(wǎng)連接的計算機(jī)，操作系統(tǒng)為Windows，安裝有Wireshark、IE 等軟件。【實驗內(nèi)容】1. 使用 Wireshark 抓包軟件分析TCP 協(xié)議報文的類型；2. 分析 TCP 連接建立的工作過程；3. 分析 TCP 數(shù)據(jù)傳輸?shù)墓ぷ鬟^程；4. 分析 TCP 連接釋放的工作過程?！緦嶒灢襟E】1. 啟動 WireShark 抓包軟件；2. 使用 ping 命令，ping你想瀏覽的網(wǎng)站，記下該網(wǎng)站的ip地址。3. 使用瀏覽器訪問一個因特

2、網(wǎng)網(wǎng)站（例如，），通過Wireshark 捕獲通信內(nèi)容；4. 分析與你瀏覽的網(wǎng)站相對應(yīng)的TCP 連接建立的三次握手和連接釋放的握手過程(在wireshark里通過ip地址過濾找到對應(yīng)的TCP數(shù)據(jù)包)。具體分析步驟如下：l 瀏覽網(wǎng)頁，抓取三次握手的包，分析 TCP包頭格式，指出下列4個字段的值。l 源 IP：l 目的 IP: 7.56l 源端口：4451l 目的端口：80連接建立第一次握手：若只顯示第一次握手的數(shù)據(jù)包，即顯示包含TCP SYN且不包含ACK 標(biāo)志的數(shù)據(jù)包，則顯示過濾器的規(guī)則應(yīng)該怎樣設(shè)置？找出第一次握手的數(shù)據(jù)包并截取對該數(shù)據(jù)包的展開圖來替換下圖。根據(jù)截圖在表1的相應(yīng)位置填寫各字段的

3、值。答：過濾器的規(guī)則應(yīng)這樣設(shè)置：tcp.flags.ack=0 && tcp.flags.syn=1表1第一次連接握手第二次連接握手第三次連接握手第一次請求數(shù)據(jù)第一次回復(fù)數(shù)據(jù)第一次斷開握手第二次斷開握手第三次斷開握手序號001113272445124451確認(rèn)號011132724451328328數(shù)據(jù)偏移2828202020202020URG00000000ACK01111111PSH00010000RST00000000SYN11000000FIN00000101窗口6553565535655356553540200655354020040200圖：連接建立第二次握手：若只抓

4、取第二次握手的數(shù)據(jù)包，則顯示過濾器的規(guī)則應(yīng)該怎樣設(shè)置？為什么？ 找出第二次握手的數(shù)據(jù)包并截取對該數(shù)據(jù)包的展開圖來替換下圖，根據(jù)截圖在表1的相應(yīng)位置填寫各字段的值。答：過濾器的規(guī)則應(yīng)這樣設(shè)置：tcp.flags.ack=1&&tcp.flags.syn=1圖：連接建立第三次握手：是否可以設(shè)定過濾規(guī)則只抓取第三次握手的數(shù)據(jù)包? 若不能，如何確定是第三次握手的數(shù)據(jù)包。找出第三次握手的數(shù)據(jù)包并截取對該數(shù)據(jù)包的展開圖來替換下圖，根據(jù)截圖在表1的相應(yīng)位置填寫各字段的值。答：不能，因為第三次握手發(fā)送的是ack包，也就是僅ACK標(biāo)記設(shè)為1的TCP包，但三次握手建立后，TCP連接的每個包都會設(shè)置

5、ACK位，所以不能。第三次握手的TCP包序列號是1。三次連接握手完成后說明TCP連接正確建立，客戶端要請求服務(wù)器傳送數(shù)據(jù)?？蛻舳说谝淮握埱髷?shù)據(jù)：找出第一次請求的數(shù)據(jù)包并截取對該數(shù)據(jù)包的展開圖，根據(jù)截圖在表1 的相應(yīng)位置填寫各字段的值。你是如何確定是第一次的請求的數(shù)據(jù)包？若服務(wù)器相應(yīng)了客戶端的請求，服務(wù)器要向客戶端傳送數(shù)據(jù)。答：如何找到第一次的請求的數(shù)據(jù)包：包的序列號為1，且下次序列號不為1（本次截到底包的下次序號為327），同時確認(rèn)號為1的TCP就是第一次請求數(shù)據(jù)的包.服務(wù)器第一次回復(fù)數(shù)據(jù)：找出第一次回復(fù)的數(shù)據(jù)包并截取對該數(shù)據(jù)包的展開圖，根據(jù)截圖在表1 的相應(yīng)位置填寫各字段的值。你是如何確定是

6、第一次的回復(fù)的數(shù)據(jù)包？答：序列號為1，又由于第一次請求包發(fā)送了327個數(shù)據(jù)（第一次請求包的下次序列號為327），所以確認(rèn)號為327的就是第一次恢復(fù)數(shù)據(jù)的包.TCP 連接的斷開：設(shè)置過濾器的規(guī)則為tcp.flags.fin = 1&& tcp.flags.ack = 1 ，捕捉斷開連接的數(shù)據(jù)包。根據(jù)捕獲的斷開連接數(shù)據(jù)報填寫表一，并分別截取斷開連接第一次、第二次握手的展開圖。我們知道TCP連接建立后，是全雙工的通信方式。觀察你截獲的結(jié)果請寫出通信雙方各自是怎樣斷開連接的。答：斷開連接過程：首先，先斷開連接的一方（即數(shù)據(jù)先傳送完畢，以下稱為“A”）,會向另一方（以下稱為 “B”）發(fā)送

7、TCP斷開連接包，連接釋放報文段的首部FIN置“1”，序號為前面已傳送過的數(shù)據(jù)的最后一個字節(jié)的序號加“1”(本次實驗為“327”)；B收到連接報文段后發(fā)出確認(rèn)，確認(rèn)號為A發(fā)的序號+1（本次實驗為“328”），這樣，A到B這個方向的連接就釋放了，TCP就處于半關(guān)閉狀態(tài)，但B可以發(fā)送數(shù)據(jù)，直到B發(fā)送TCP連接斷開包，B向A發(fā)送連接斷開包的過程與A向B發(fā)送的TCP連接斷開包過程類似?！緦嶒灨邢搿勘敬螌嶒炿y度較前幾次大，花費(fèi)了兩次課的時間完成。在這次實驗中遇到了不少問題，如下：（1）在進(jìn)行第一個實驗，用WireShark抓取TCP連接建立包時，輸入過濾條件后，發(fā)現(xiàn)捕獲了兩個TCP連接建立包，之前老師有

8、說到，有同學(xué)遇到了這個問題，是因為該同學(xué)開來兩個瀏覽器，所以每個瀏覽器都會發(fā)送一個TCP連接建立包。但是我這次并沒有開啟兩個瀏覽器，卻也生成了兩個TCP連接建立包，后來在老師的幫助下，發(fā)現(xiàn)兩次實驗的端口號不一樣，老師解釋說肯能該瀏覽器兩個不同進(jìn)程各發(fā)了一個TCP連接建立包。幸好提前問了這個問題，否則后面的一些數(shù)據(jù)都可能會出錯（可能會發(fā)生兩個端口號的數(shù)據(jù)混用的情況）。（2）在輸入過濾條件的時候遇到了一些困難，不知道該輸入怎樣的過濾條件，后來在網(wǎng)絡(luò)和那份TCP文檔說明的幫助下，得以解決這個問題。（3）第三個問題是在分析并填寫第一次請求數(shù)據(jù)的時候，不知道是該用哪個包的數(shù)據(jù)。因為ack和序列號的數(shù)據(jù)均

9、為1，看似沒有什么標(biāo)志性的數(shù)據(jù)能確定某個包上是第一次請求數(shù)據(jù)包，后來經(jīng)過仔細(xì)觀察，發(fā)現(xiàn)某個包與三次握手包有一項內(nèi)容不同，該包有一個next sequence number,其值為327，后來我在網(wǎng)上查了一下，驗證了這個包就是第一次請求數(shù)據(jù)包。（4）最后是在判斷并分析TCP鏈接斷開包的時候遇到了困難，用IE瀏覽器好幾次輸入過濾條件后都沒有結(jié)果，大家也普遍遇到類似情況，后來我換用FireFox瀏覽器，成功捕獲了完整的4個TCP鏈接斷開包。不過有必要在這里說一點的是，我并沒有采用題目中給的過濾條件，因為題目中給是過濾條件只能抓獲第一、三次握手的TCP斷開連接包，我用來”IP.addr = 百度地址 &&am