Wireshark抓包分析TCP 3次握手、4次揮手過程

Wireshark簡介

更多有關Wireshark的教程、軟件下載等，請見：http://www.52im.net/thread-259-1-1.html，本文只做簡要介紹。

1Wireshark 是什麼？

Wireshark 是最著名的網絡通信抓包分析工具。功能十分強大，能夠截取各類網絡封包，顯示網絡封包的詳細信息。

你能夠把網絡包分析工具當成是一種用來測量有什麼東西從網線上進出的測量工具，就好像使電工用來測量進入電信的電量的電度表同樣（固然比那個更高級）。過去的此類工具要麼是過於昂貴，要麼是屬於某人私有，或者是兩者兼顧。 Wireshark出現之後，這種現狀得以改變。 Wireshark可能算得上是今天能使用的最好的開源網絡分析通信抓包分析工具軟件。

2Wireshark的使用對象

Wireshark能夠用在許多場合下，如下只是典型的使用對象舉例：

• 用來解決網絡問題網絡管理員；
• 用來檢測安全隱患網絡安全工程師；
• 用來測試諸如即時通信軟件的協議執行狀況的開發人員；
• 用來學習網絡通信協議的學習、教師或愛好者。

使用wireshark的人必須瞭解網絡協議，不然就看不懂wireshark了。聽說，華爲、中興的大部分工程師都會用到wireshark。

相關資源

你也可查看即時通信網(52im.net)的另外一篇同類文章《理論經典：TCP協議的3次握手與4次揮手過程詳解》：http://www.52im.net/thread-258-1-1.html

更多資料請查閱《TCP/IP 詳解》這本書，目前即時通信網(52im.net)已整理出了在線閱讀版。經典著做，值得收藏和隨時查閱，地址是：http://www.52im.net/topic-tcpipvol1.html

TCP/IP協議族

TCP/IP是一個協議族，一般分不一樣層次進行開發，每一個層次負責不一樣的通訊功能。包含如下四個層次：

 

1. 鏈路層：
也稱做數據鏈路層或者網絡接口層，一般包括操做系統中的設備驅動程序和計算機中對應的網絡接口卡。它們一塊兒處理與電纜（或其餘任何傳輸媒介）的物理接口細節。

2. 網絡層：
也稱做互聯網層，處理分組在網絡中的活動，例如分組的選路。網絡層協議包括IP協議（網際協議）、ICMP協議（Internet互聯網控制報文協議），以及IGMP協議（Internet組管理協議）。

3. 運輸層主要爲兩臺主機上的應用程序提供端到端的通訊：
在TCP/IP協議族中，有兩個互不相同的傳輸協議：TCP（傳輸控制協議）和UDP（用戶數據報協議）。TCP爲兩臺主機提供高可靠性的數據通訊。他所做的工做包括把應用程序交給它的數據分紅合適的小塊交給下面的網絡層，確認接收到的分組，設置發送最後確認分組的超時時鐘等。因爲運輸層提供了高可靠性的端到端通訊，所以應用層能夠忽略全部這些細節。而另外一方面，UDP則爲應用層提供一種很是簡單的服務。它只是把稱做數據報的分組從一臺主機發送到另外一臺主機，但並不保證該數據報能到達另外一端。任何須須的可靠性必須由應用層來提供。

4. 應用層負責處理特定的應用程序細節：
包括Telnet（遠程登陸）、FTP（文件傳輸協議）、SMTP（簡單郵件傳送協議）以及SNMP（簡單網絡管理協議）等。

wireshark抓到的包與對應的協議層以下圖所示：

 

1. Frame:   物理層的數據幀概況
2. Ethernet II: 數據鏈路層以太網幀頭部信息
3. Internet Protocol Version 4: 互聯網層IP包頭部信息
4. Transmission Control Protocol:  傳輸層的數據段頭部信息，此處是TCP
5. Hypertext Transfer Protocol:  應用層的信息，此處是HTTP協議。

（TCP/IP協議族關係圖高清珍藏版下載：http://www.52im.net/thread-180-1-1.html）

TCP協議簡介

TCP是一種面向鏈接（鏈接導向）的、可靠的基於字節流的傳輸層通訊協議。TCP將用戶數據打包成報文段，它發送後啓動一個定時器，另外一端收到的數據進行確認、對失序的數據從新排序、丟棄重複數據。

TCP的特色有：

• TCP是面向鏈接的運輸層協議
• 每一條TCP鏈接只能有兩個端點，每一條TCP鏈接只能是點對點的
• TCP提供可靠交付的服務
• TCP提供全雙工通訊。數據在兩個方向上獨立的進行傳輸。所以，鏈接的每一端必須保持每一個方向上的傳輸數據序號。
• 面向字節流。面向字節流的含義：雖然應用程序和TCP交互是一次一個數據塊，但TCP應用程序交下來的數據僅僅是一連串的無結構的字節流。

TCP報文首部，以下圖所示：（您也可參見《TCP/IP詳解》這本書裏的對應介紹：http://docs.52im.net/extend/docs/book/tcpip/vol1/17/#h17_3）

 

1. 源端口號：數據發起者的端口號，16bit
2. 目的端口號：數據接收者的端口號，16bit
3. 序號：32bit的序列號，由發送方使用
4. 確認序號：32bit的確認號，是接收數據方指望收到發送方的下一個報文段的序號，所以確認序號應當是上次已成功收到數據字節序號加1。
5. 首部長度：首部中32bit字的數目，可表示15*32bit=60字節的首部。通常首部長度爲20字節。
6. 保留：6bit, 均爲0
7. 緊急URG：當URG=1時，表示報文段中有緊急數據，應儘快傳送。
8. 確認比特ACK：ACK = 1時表明這是一個確認的TCP包，取值0則不是確認包。
9. 推送比特PSH：當發送端PSH=1時，接收端儘快的交付給應用進程。
10. 復位比特（RST）：當RST=1時，代表TCP鏈接中出現嚴重差錯，必須釋放鏈接，再從新創建鏈接。
11. 同步比特SYN：在創建鏈接是用來同步序號。SYN=1， ACK=0表示一個鏈接請求報文段。SYN=1，ACK=1表示贊成創建鏈接。
12. 終止比特FIN：FIN=1時，代表此報文段的發送端的數據已經發送完畢，並要求釋放傳輸鏈接。
13. 窗口：用來控制對方發送的數據量，通知發放已肯定的發送窗口上限。
14. 檢驗和：該字段檢驗的範圍包括首部和數據這兩部分。由發端計算和存儲，並由收端進行驗證。
15. 緊急指針：緊急指針在URG=1時纔有效，它指出本報文段中的緊急數據的字節數。
16. 選項：長度可變，最長可達40字節。

wireshark捕獲到的TCP包中的每一個字段以下圖所示：

 

經過Wireshark來理解TCP 3次握手過程

TCP創建鏈接時，會有三次握手過程，以下圖所示，wireshark截獲到了三次握手的三個數據包。第四個包纔是http的，說明http的確是使用TCP創建鏈接的。

 

 

下面來逐步分析三次握手過程。

1第一次握手

客戶端向服務器發送鏈接請求包，標誌位SYN（同步序號）置爲1，序號爲X=0。

 

 

2第二次握手

服務器收到客戶端發過來報文，由SYN=1知道客戶端要求創建聯機。向客戶端發送一個SYN和ACK都置爲1的TCP報文，設置初始序號Y=0，將確認序號(Acknowledgement Number)設置爲客戶的序列號加1，即X+1 = 0+1=1, 以下圖。

 

 

3第三次握手

客戶端收到服務器發來的包後檢查確認序號(Acknowledgement Number)是否正確，即第一次發送的序號加1（X+1=1）。以及標誌位ACK是否爲1。若正確，服務器再次發送確認包，ACK標誌位爲1，SYN標誌位爲0。確認序號(Acknowledgement Number)=Y+1=0+1=1，發送序號爲X+1=1。客戶端收到後確認序號值與ACK=1則鏈接創建成功，能夠傳送數據了。

 

 

經過Wireshark來理解TCP 4次揮手過程

TCP斷開鏈接時，會有四次揮手過程，以下圖所示，wireshark截獲到了四次揮手的四個數據包。

 

 

下面來逐步分析四次揮手過程。

1第一次揮手

客戶端給服務器發送TCP包，用來關閉客戶端到服務器的數據傳送。將標誌位FIN和ACK置爲1，序號爲X=1，確認序號爲Z=1。

 

 

2第二次揮手

服務器收到FIN後，發回一個ACK(標誌位ACK=1),確認序號爲收到的序號加1，即X=X+1=2。序號爲收到的確認序號=Z。

 

 

3第三次揮手

服務器關閉與客戶端的鏈接，發送一個FIN。標誌位FIN和ACK置爲1，序號爲Y=1，確認序號爲X=2。

 

 

4第四次揮手

客戶端收到服務器發送的FIN以後，發回ACK確認(標誌位ACK=1),確認序號爲收到的序號加1，即Y+1=2。序號爲收到的確認序號X=2。

 

 

 

http://blog.csdn.net/yanxi252515237/article/details/51955675