wireshark抓包圖解TCP三次握手四次揮手詳解

wireshark抓包圖解TCP三次握手/四次揮手詳解一.TCP/IP協(xié)議族TCP/IP是一個協(xié)議族，通常分不同層次進行開發(fā)，每個層次負責(zé)不同的通信功能。包含以下四個層次：應(yīng)用層Http,Telnet.Ftp.Email,DN5藩朋說傳輸層tcpajudp網(wǎng)絡(luò)層滬.ICMP,ARP,RAFtP和呂CfOTF防漢等畦路層設(shè)備驅(qū)動程產(chǎn)及覆IIP.鏈路層，也稱作數(shù)據(jù)鏈路層或者網(wǎng)絡(luò)接口層，通常包括操作系統(tǒng)中的設(shè)備驅(qū)動程序和計算機中對應(yīng)的網(wǎng)絡(luò)接口卡。它們一起處理與電纜（或其他任何傳輸媒介）的物理接口細節(jié)。.網(wǎng)絡(luò)層，也稱作互聯(lián)網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動，例如分組的選路。網(wǎng)絡(luò)層協(xié)議包括IP協(xié)議（網(wǎng)際協(xié)議）、ICMP協(xié)議（Internet互聯(lián)網(wǎng)控制報文協(xié)議），以及IGMP協(xié)議（Internet組管理協(xié)議）。.運輸層主要為兩臺主機上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議族中，有兩個互不相同的傳輸協(xié)議：TCP（傳輸控制協(xié)議）和UDP（用戶數(shù)據(jù)報協(xié)議）。TCP為兩臺主機提供高可靠性的數(shù)據(jù)通信。他所作的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊交給下面的網(wǎng)絡(luò)層，確認接收到的分組，設(shè)置發(fā)送最后確認分組的超時時鐘等。由于運輸層提供了高可靠性的端到端通信，因此應(yīng)用層可

以忽略所有這些細節(jié)。而另一方面，UDP則為應(yīng)用層提供一種非常簡單的服務(wù)。它只是把稱作數(shù)據(jù)報的分組從一臺主機發(fā)送到另一臺主機，但并不保證該數(shù)據(jù)報能到達另一端。任何必須的可靠性必須由應(yīng)用層來提供。.應(yīng)用層負責(zé)處理特定的應(yīng)用程序細節(jié)。包括Telnet（遠程登錄）、FTP（文件傳輸協(xié)議）、SMTP（簡單郵件傳送協(xié)議）以及SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）等。3^033110010+25.67*12€U52.4989000010.24. SS-SOlO5fi0Q103^033110010+25.67*12€U52.4989000010.24. SS-SOlO5fi0Q10+24.3??55i2734010.2^6610.2^.35.5SId.24,32.5510.25.O'.12610,25J6rx12610.J3,￡7.156f*9-tm? ?羽工hbx工力電財-un> Proioefilversion415TC：工，，帛.本工工24―>>Transmlssfoncontrolrrorocolb5rcPori:6*75金■^typert-aKtTransferProtocolFrame:物理層的數(shù)據(jù)幀概況EthernetII:數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息InternetProtocolVersion4:互聯(lián)網(wǎng)層IP包頭部信息TransmissionControlProtocol:傳輸層的數(shù)據(jù)段頭部信息，此處是TCPHypertextTransferProtocol:應(yīng)用層的信息，此處是HTTP協(xié)議二TCP協(xié)議TCP是一種面向連接（連接導(dǎo)向）的、可靠的基于字節(jié)流的傳輸層通信協(xié)議。TCP將用戶數(shù)據(jù)打包成報文段，它發(fā)送后啟動一個定時器，另一端收到的數(shù)據(jù)進行確認、對失序的數(shù)據(jù)重新排序、丟棄重復(fù)數(shù)據(jù)。TCP的特點有：TCP是面向連接的運輸層協(xié)議每一條TCP連接只能有兩個端點，每一條TCP連接只能是點對點的TCP提供可靠交付的服務(wù)TCP提供全雙工通信。數(shù)據(jù)在兩個方向上獨立的進行傳輸。因此，連接的每一端必須保持每個方向上的傳輸數(shù)據(jù)序號。面向字節(jié)流。面向字節(jié)流的含義：雖然應(yīng)用程序和TCP交互是一次一個數(shù)據(jù)塊，但TCP把應(yīng)用程序交下來的數(shù)據(jù)僅僅是一連串的無結(jié)構(gòu)的字節(jié)流TCP報文首部，如下圖所示：3號唯口號段位說LUG；TCP包首郵TCP報文首部，如下圖所示：3號唯口號段位說LUG；TCP包首郵16R-符口大小時位施驗制1位由.源端口號：數(shù)據(jù)發(fā)起者的端口號，16bit.目的端口號：數(shù)據(jù)接收者的端口號，16bit.序號：32bit的序列號，由發(fā)送方使用.確認序號：32bit的確認號，是接收數(shù)據(jù)方期望收到發(fā)送方的下一個報文段的序號，因此確認序號應(yīng)當(dāng)是上次已成功收到數(shù)據(jù)字節(jié)序號加1。.首部長度：首部中32bit字的數(shù)目，可表示15*32bit=60字節(jié)的首部。一般首部長度為20字節(jié)。.保留：6bit,均為0.緊急URG：當(dāng)URG=1時，表示報文段中有緊急數(shù)據(jù)，應(yīng)盡快傳送。.確認比特ACK:ACK=1時代表這是一個確認的TCP包，取值0則不是確認包。.推送比特PSH:當(dāng)發(fā)送端PSH=1時，接收端盡快的交付給應(yīng)用進程。.復(fù)位比特（RST）：當(dāng)RST=1時，表明TCP連接中出現(xiàn)嚴重差錯，必須釋放連接，再重新建立連接。.同步比特SYN：在建立連接是用來同步序號。SYN=1，ACK=0表示一個連接請求報文段。SYN=1，ACK=1表示同意建立連接。.終止比特FIN:FIN=1時，表明此報文段的發(fā)送端的數(shù)據(jù)已經(jīng)發(fā)送完畢，并要求釋放傳輸連接。.窗口：用來控制對方發(fā)送的數(shù)據(jù)量，通知發(fā)放已確定的發(fā)送窗口上限。

.檢驗和：該字段檢驗的范圍包括首部和數(shù)據(jù)這兩部分。由發(fā)端計算和存儲，并由收端進行驗證。.緊急指針：緊急指針在URG=1時才有效，它指出本報文段中的緊急數(shù)據(jù)的字節(jié)數(shù)。.選項：長度可變，最長可達40字節(jié)wireshark捕獲到的TCP包中的每個字段如下圖所示：Si2?：后579打value:windowWindow{CilculicedrEtherneTllSi2?：后579打value:windowWindow{Cilculiced?firtemeipfotocoI*?rs1?n4fsrc:「WansmissioncontrolPrciccalParcPore:?sourceporri(6337O>Dearinitionport:http(60)(Strtilmindex:0]Sequencenuober:1(relativesequerci(Next，equ犯n亡rnuntier:112?(relatlviAcknowledgmtnc:rubber:1(relative><前町a(chǎn)es-erved：NotsetN0Fic?:NotsetCongestion口用Rei；「一「，?GCN-tcho:Notset；「一「，?Urgent;Not5flitAcknowledgmentiSet￡windowsizescalingfactor;Z5E]>checksttm：gx&B€2[validationdisabled][GoodChecksun:False!checksum:i=alse]：[SEQ/ACKanalysis][sycesfnflight:1128]；kHypertextTransferPralcccl三.TCP三次握手TCP建立連接時，會有三次握手過程，如下圖所示，wireshark截獲到了三次握手的三個數(shù)據(jù)包。第四個包才是http的，說明http的確是使用TCP建立連接的。下面來逐步分析三次握手過程：第一次握手:客戶端向服務(wù)器發(fā)送連接請求包，標志位SYN（同步序號）置為1,序號為X=0Filter:Expre-sN0.Time SourceLestinationProt&c11925.742Bg9D0269TCP11945.7739-E6OD926TCP11955.77408900269TCP11995.7B16&7OCH269HTTP：rrr0Frame1192;66byteson re(528bits-),66bytescaptured0EthernetII,&rc:HewlettP_Db:ad:52(ac:16:2d:Ob:ad;S2),比+internetProlq-c(?1version41src:26CIO-25.67.UEjiTansmi5si-onCQritralProtocolf.野gF*tirt:63370：C63370)tD51Sourceport:63370(63370)Desfinafiorport:hrtztp(B。)「5t『Eami口加4:0]|口umbgr:口|(relativesequencenumber)pq|>Flags:0x002(5YN) |Windowsizevalue:8192[calculatedwindowsize:81921□checksum:0x6406[validationdisabled][Goodchecksum:False][Badchecksum:False]Sopfions:(12bytes),Maximinsegruenftsize?No-aperafioni第二次握手：服務(wù)器收到客戶端發(fā)過來報文，由SYN=1知道客戶端要求建立聯(lián)機。向客戶端發(fā)送一個SYN和ACK都置為1的TCP報文設(shè)置初始序號Y=0，將確認序號(AcknowledgementNumber)設(shè)置為客戶的序歹I」號力口1，即X+1=0+1=1,如下圖：

Filtertcp Tression...ClearNo.Time Source Destination Protoco-ILengthIn11925.74289300269TCP66611945.7739B60010.1^,12.5926TCPBEh11955.77408900260TCP54611995.78169700269HTTP1182Glrri田白1194:66bytesonwire(528bits),66bytescaptured(528bits'金！EthernetII,5rc:Cisco_23:df:43(IB:33:9d:23:df:43),Dst:HewlettP_!田rirrternetProt&colVersion4,Src:ID.14.12.59(9),Dst:10.-TransmissionControlProtocol,ErePort:http(80),DstPort63370?sourceport;hucp(80)oes-finafionport;63370C63370)「SbuarifkIbt;0]5一口11日門?曰numbEF;口IC「e]afivesequencenumber)，匚卜介口冏1，clgnieRtmi兩匕日「；1[(relafiveacknumber)|(±!Flags:OxOlZ(5YN,ACK)~~IwlriduwIrevalue;oj_yziLealculatedwindowsize:B1921Echiecksurai:Ox/ccb[val1cJafionch5abied][Goodchecksum:Faise][Badchecksum:Faise]；±ioptions:(工七byres),Maximumsegmentsize,No-operationCnop),win(日[5eq/ackanalysis]「T鹿~is11mn 1：口th，BeqHerrt~infr^n『：工工92~|[TheRTTtoACK：thesegmentnms:0.051087000seconds]18位甌進口號16林目闈揣口號Ci；」號列Y=018位甌進口號16林目闈揣口號Ci；」號列Y=0唧也覘諷呼號：X+1-1】爺位國口大小hM也'：達和川位一kj^：'l設(shè)頂4位首部工2第三次握手：客戶端收到服務(wù)器發(fā)來的包后檢查確認序號(AcknowledgementNumber)是否正確，即第一次發(fā)送的序號加1(X+1=1)。以及標志位ACK是否為1。若正確，服務(wù)器再次發(fā)送確認包，ACK標志位為1,SYN標志位為0。確認序號(AcknowledgementNumber)=Y+1=0+1=1，發(fā)送序號為X+1=1?？蛻舳耸盏胶蟠_認序號值與ACK=1則連接建立成功，可以傳送數(shù)據(jù)了。Time SourceDestinationProtocolLe-ngtl11925.74289900269TCPnLL945.77390600926TCP6LL955.77408900269TCP511995.7SL6970026LG.14.12.59HTTPlierrr田Frame1195:54bytesonwlre<422bits),54bytescaptured(432tr!+1EthernetII,src:Hew!ettP_Ob:ad:52Cac:16:2d:Ob:ad:52),Dst:AllInterRetProtocalVersion4,Src:ID.25.67.126(ID.25.67.126).Ds□Tran-smiss1ancontrolPratocol,srcPort:63370(6337o5,DstPort:sourceport:63370CS337D)Desfir^at1anport:http<60)「SEFdmindeK：01I七白niiMbcF:工(4sequencenumber)4dqncntnuHtbc》：1[(pelafiveacknumber)口白nrl白尸lanqth"丁口口Flags:O-kOIO(ack)winaowsizevalue:2S7[calculatedwindowsize:65792][windowsizesealingfactor:256]Checksum:Ok63fa[validat.iondisabled][CoodChecksunn:Faise][BadChecksum:Faise][SEQ/ACKanalysis]|~Th~i5~iminACEtoth-GEgmEnt~irt干「-7€[1工941[TheEtTTtoACKthesegmentwas:D.D0010300Dseconds]1弱IB3116位源/口號m位U的瑞口號罪行仔列號：X*1=1:Y+1=11位國URG0AGK1.PSH4RFT0aFIN0】6位旅口大小if位依啦相10位舐的指M如員數(shù)據(jù)次揮手TCP斷開連接時，會有四次揮手過程，如下圖所示，wireshark截獲到了四次揮手的四個數(shù)據(jù)包。

客戶端發(fā)送ACK服文卜并有發(fā)送序號為*客戶端發(fā)送ACK服文卜并有發(fā)送序號為*十工確認序號為Y+1客戶端發(fā)送FIN+ACK報遴并置.發(fā)送年號為工聯(lián)笄端發(fā)送FIN+ACK報文?并置.發(fā)送序號為V,確式序號為X41服務(wù)湍發(fā)送ACK報戈卜并置發(fā)送序號為乙確認廳;弓為X+1下面來逐步分析四次揮手過程：第一次揮手：客戶端給服務(wù)器發(fā)送TCP包，用來關(guān)閉客戶端到服務(wù)器的數(shù)據(jù)傳送。將標志位FIN和ACK置為1，序號為X=1，確認序號為Z=1。Filter:tcp -ExprNo. Time S-&UrceDestinationProt&34G14.19156670262TCP634714.91CC41026TCF634814.91€^420210.25,€7.126TGF634&14,G1C7130i262TCF635414.932^800710.25,€7.126TCF63S514.93245602602TCF635714.g3403100210.25.C7.126TCFFrame6346:54bytesonwire(432bits),54bytescaptur€Eth史『n史tII,Src:MiewlettP_Ob;ad:52(ac;16:2d;Ob:ad；52),*inrernexProtocolversion41&rc:26(10.25.&7,TransmssnoncontrolPrcxocal,srcFort;63725(63726),匚sourceport;^372^(63726)Desfinafionport:hrtp(80)班「七己巾imkx;2口汨J.：--.-：'L-"-" (relatIvesequencerumber):11(relatIveackrumber)HeacWlermti:20bvr史士SFlags:0x011(Flhl,ACK)|~~windowsizevaiue:Z'yi1Ecalcularcdwindowsize:257][windov;sizescalingfactor:-1(unknown)]□checksum:Qx77fd[valldaTlondisablcd][Goodchecksum:fhIse][Badchecksum:False]15小 313G位嚼設(shè)口號：6粒目的湘U號:堀—號:X=1期證確認呼號二丈=14便曾叫!；工保留￡fiVLiURGACKfSH0RSTSYNFM10——小’M位修腕柏附桃彘急指tl |地理 1數(shù)據(jù)服務(wù)器收到FIN后發(fā)回一個ACK（標志位ACK=1），確認序號為收到的序號加1,即X=X+1=2。序號為收到的確認序號二乙

1 Filter;tep|T|Expr『ssi。No. Tima S-o-urceDestinationProtocol634614.9156B702610.24.a7.52TCP6-3471^1.31664Wi0,24.3^,5310.25,&7.12&TCP634B14.916642026TCP634守14,9167130262TCP635414.9323980026TCP635514.93245602610.14.3&1102TCP635714.9J40310026TCP+Fram啟6347:60byt￡sonwirc(4S0-bits)76Qbytescaptured(上iEthernetIT,Src:Cisco_23:df:43(18:33:9d:23:df:43)jDst:>TinternetProtoco-!Version4,Src:2(2),QTransmss-ionControlProtocol,SrcPort:http(80),DstPort:Sourceport:http(80)Desfinaxionpert;63726(63726)~ind史x;3091I戶史ciu史門七史nu*h吧「；[Ifr€'[ativesequencenumber)l-knciYjl史dqm史ntFTHmbcr;2 (re1ativeacknumber)H史dclEirl^er^^tFi;上口bytz:|田F~I/g;ixtnio5年)^"wTnaow_5Tze^STueT65079Ecalculatedwindov/size:65079][window51zescalingfactor:-1(unknown)](3checksum:Ox5d21[validafiortdisabled][Goodchecksum:Faise][Badchecksum:Faise]日[eeq/ackanalysns]「Tbri-1$anACKterthw5白q「&n：tinfF-nae:「蕓46~|[TheRTTtoACKthesegmervtwas:0-.000954-000seconds]q151AS1口號16也口的增口號位屋列號i”1肥慢硼認扉月；：X4-1=21位與%Y：-J.緊腳（fiURGAGKP5MRSTSYN帕也窿11大小用曲拄驗刊田仇某意指it通跟數(shù)據(jù)

服務(wù)器關(guān)閉與客戶端的連接，發(fā)送一個FIN。標志位FIN和ACK置為1，序號為Y=1，確認序號為X=2。Filter;tcpNo.Time SourceDestination634-614.S156B70-262G34714.916641026634S14,916642&1O.24.32.52&6升g14.91C713025iO.24.32.52635414.9323&S&O210.25.67,126635514,93245&02C10.14.36,102635714,934Q31&0210.25.67,126+ 6348:60bytesonwire(480bits)760bytes,capt+EthernetII?Src:Clsco_23:df(18:33:9d:23:df:43)?國inT^rnetProtocolversion4,sre:10.24.32,52(10.24-..：-Transm-issionconTrolProtocol,srcPort:http(8Q),besourceport:http(80)D^sfinAT-ionport:63726(63726)[-tr舊an-j/dex:工口9]一-.uen□吧number:1J」re~lativesequencenumber)■A-k門cic'"lndgmeirtnumber: (re1ativeack:nuniber)Header-吧門erth:2。trxrten[+]Flags:0x011(FIn7ACKWindows-izevalue:65079[calculatedwindowsize:65079][windowsize5calingfactor:-1(unknown)]□checksum:0x5d20[valida.fiq-rdisabled][Goodchecksum:Fai5e][B@dchecksurn:Faise]1516 311電工瘴料口號1砸目您空舞位序再內(nèi)Y=1牌位MH卬產(chǎn)號：X+1=2i仲二心..?」保曲t6URGACKPSHRST￡YNFFIn;位一口大小IE；位檢驗相忸位裝總指H選項數(shù)據(jù)

客戶端收到服務(wù)器發(fā)送的FIN之后，發(fā)回ACK確認（標志位ACK=1），確認序號為收到的序號加1,即Y+1=2。序號為收到的確認序號X=2。Filter:tcpNo.Time SourceDestinationProto(634614.9156E7O262TCP634714.9166410