利用Wireshark进行TCP协议分析

《利用Wireshark进行TCP协议分析》由会员分享，可在线阅读，更多相关《利用Wireshark进行TCP协议分析（6页珍藏版）》请在装配图网上搜索。

1、利用 Wireshark进行TCP协议分析TCP报文首部，如下图所示:1.源端口号：数据发起者的端口号，16bit2. 目的端口号：数据接收者的端口号，16bit3. 序号：32bit的序列号，由发送方使用4. 确认序号：32bit的确认号，是接收数据方期望收到发送方的下一个报文段的序号，因此确认序号应当是上次已成功收到数据字节序号加1。5. 首部长度：首部中 32bit字的数目，可表示15*32bit=60字节的首部。一般首部长度为20字节。6保留：6bit,均为07. 紧急URG :当URG=1时，表示报文段中有紧急数据，应尽快传送。8. 确认比特ACK : ACK = 1时代表这是一个确

2、认的 TCP包，取值0则不是确认包。9. 推送比特PSH :当发送端PSH=1时，接收端尽快的交付给应用进程。10. 复位比特（RST）:当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再 重新建立连接。11. 同步比特SYN :在建立连接是用来同步序号。SYN=1，ACK=0表示一个连接请求报文段。SYN=1 , ACK=1表示同意建立连接。12. 终止比特FIN : FIN=1时，表明此报文段的发送端的数据已经发送完毕，并要求释放传 输连接。13. 窗口：用来控制对方发送的数据量，通知发放已确定的发送窗口上限。14. 检验和：该字段检验的范围包括首部和数据这两部分。由发端计算和

3、存储，并由收端进 行验证。15. 紧急指针：紧急指针在 URG=1时才有效，它指出本报文段中的紧急数据的字节数。16. 选项：长度可变，最长可达 40字节TCP的三次握手和四次挥手:第一次握手数据包.1Ti 5vl. z 267 Cli ?nr HpI 1 n客户端发送一个 TCP,标志位为SYN，序列号为0，代表客户端请求建立连接。如下图-FW_rj- i_r n-wr/ 亠丄6GDMS73 standard query 0x0e4e a bcl. jrxwxm. comL03DNS23Z standard query r eaponse QxOee a izs,501乡5.丄+ 1TCP6

4、6 53907-443 SYN Seq=O Win=0192 Len=D MSS=1460 WS=25 5ACK_F+ 1TCP66 5390X4厂血U1 上単92 Len=0 MSS=146O W5=256 5ACK_FL03TCP師 44 J-KS3&OSNCKeqHck-l Wi D-14600 Lert-0 MSS-144Q S.1tcp&4 5907-443 ack 5eq=l Ack=l wirt=66048 Len=O1TI. SV1. i?67 Cli pnt HpI1n103TCPC6 44 3-53903 SYN, ACK Seq-Q Aclk-1 Wln=lJ6Q0 Le

5、n-0 MSS-144 0 STCP54 53908-413 ACK cq-l Ack-1 Win-660J8 Lcn-0*1TLSVl.；267 Client HelloL03TCP60 44 3-k53907 ACK 5eq-l Ack-214 win-15CB0 Lefl-QL03TCP60 443*53903 ACK Sq-1 Ack-214 Win-15680 Len-01 CHTH茸W51404 Sprvpr Hfll 1 n |Vjii i 6GDNS73 stancard query0x0e4e a bd. irxwxm, comL03DNSZ3Z standard query

6、response QxQee a56.136.1TCP更 53907-4435YN5eq=C Win=6193 Len=D 155=1460 桁=2蓟 5ACK f.1| ILF |师 53908-443synJ5eq=0 Win=0192 Len=D M55=14S0 W5=25C 5ACK FLOS| TCP|66 44 J-53907SYN,ACK. seq=o Ack=l wi n=14600 Len=0 MS5=144 0 5.1tcp54 5907-443心5eq=l Ack=l wi rt=66048 Len=OLdFDACK Seq-Q Ack-1 Win=lJ600 Len-

7、0 MSS-14J0 s saq-l Ack-1 wi r-660J8 Lcn-0103TCPL03TCPGO 44 35390? ACK 5eq-l Ack-214 Win-LSCBO L&fi-O60 443*53903 ACK Seq-1 Ack-214 Win-15680 Len-01 0耳TI 吕. 7=4 04 匚呼匚 Hflljnsource Port: 5390B C539O0) Dsstination Part: 443 043 stream index: 1fcequence nuirber: 03 Tranami ssion control protocol, 5rc P

8、ort: 53905 (53908J, DST Forx: (relative sequence number :0 . . . . 0000 0000 0010 = Flags： OXOQ2|(VNHeader Length: 32 bytesWi ndow size value: 8102cal cul*ted window wP疋已；S192 a checksum: OxC37O validaciQn disabledurgent pointer: 0i4- nnr nn -? hrr 户吧、 M?i-imi im 烷anrrorTT 喘彳丁戸 Nn-Ctripr at-i nn hir

9、)P*i u第二次握手的数据包服务器发回确认包,标志位为 SYN,ACK.将确认序号(Acknowledgement Number)设置为客 户的I S N加1以即 0+1=1,如下图Desrinarion GeoiP： unknown-i Transmission central Protocol, sre Port: 443 (44S) T Dst Port: 53907 (53907) . seSource Port: 443 (443)f SYN , AC) 1ati e sequence nunber) frel atH ve ack njmberDestination Port:

10、53907 C539O7) strea-n index: 0 TCP 血电nt |_甲一 semjencnumbeHeader Lengtr:a Dnes0000 0001 0010 =匚 1 ags : CxOliwindow size value: 14600Cal cul ated ndow size: 14 6OC u)E checksum: 0x5009 val i dation ci sabl ed第三次握手的数据包客户端再次发送确认包（ACK） SYN标志位为0,ACK标志位为1并且把服务器发来 ACK的 序号字段+1,放在确定字段中发送给对方 并且在数据段放写ISN的+1,如下

11、图：d Transmission Control protocol P Src Port: 5 390752907), Dst Port! 44.Source Port: 53907 (5397)Dest5natlon Port: 443 ACK/FIN - (Server)2. (Client) - ACK - (Server)3. (Client) - ACK/FIN ACK - (Server)第一次挥手：客户端给服务器发送TCP包，用来关闭客户端到服务器的数据传送。将标志位FIN和ACK置为1，序号为X=1，确认序号为 Z=1No.TiimeSourceDestinationProf6

12、强五91 芮时010 25昭.12&10.24*32T口6347 14.9166410 10. 24- 32- 5210.25.67.126TCF6348 14.9166420 10. 24- 32_ 5210.25.67.126TCP(+ Frame 634 6: 54 byt5 qh wire (4 32 bits) , 54 byx es ciptur e Ft- Ethernet II t src; newl ettP_Ob; ad; 52 (x; 16 ; 2d; Ob;盘；52) * S inrernex Protocol version 4 src: 10. 25.67* 126

13、 CIO. 25. 67. t Transmiss-! an corttral Protocol, src Port: 63Z25 (&372G)( C 5ource port: 63726 (63726) e5fi nar I on port: htr p (BO)strearn i ndex; 10915eauerKjufflbel(rel at i ve sequence number)品益TeJgin电电厂 1 (relate ve ack number TieaSeTTnaTTK id bvteswindow size value:calculared window si2e: 2

14、57window 51 ze =匚 al 1 ng fact or : -1 (unknown) -i checksuin; 0x77fd val 1 dation disabledGood checksum: FalssBid checksum: False服务器收到FIN后，发回一个ACK（标志位ACK=1）,确认序号为收到的序号加 1 ,即X=X+1=2 。序号为收到的确认序号=Z 。i+QETherret II, src: Cl sco_23: df :43 (LB: 33: 9d; 23: df ：if3) , Dsr: HE interret ProTocol version 4

15、t src: W. 24. JZ, 52 CIO- 24. 33, 52 t Transmitsion control Protocol , src Part: http C80), Dst Port: source port: hrrp1 (raris&qu&nce number)(r el ative ack numberresxiraTlon port: 63726 (637?6) rstreni index: 1091AO5 ： 0x010 (ACK.) I naow size value: 65079lAcknowledgment number; 2W1calculared wnnd

16、ovr 52e: 6079 Window si;e sca11ng factor: -1 unknown)：L checksum: OxidZl validafion diiabled toed checksum: False Ead checksum: Fa.1 sei- seq/ack analysls This is0SQQfn旦口匸 ifl更3国1Th rtt to ack the sequent was:000954000 seconds服务器关闭与客户端的连接，发送一个FIN。标志位FIN和ACK置为1，序号为丫=1，确认序号为X=2。电占时灯址忆“ port : 63726 (6

17、726)Stream -index 109egygncwfljbeiCrelati ve sequence number)丸 t knovJ 电 dgmmivt number: 2 (rel ati ve ack number)FJags： 0x011 (FIN, ACK)wlriQ si;e viIue; C5&79caHculated window size: 65079window size staging factor: -1 (unknown)-l checksum; 0x5d2O validaticjn rfisabl edGood checksum; Fa.1 eBad chec

18、ksum: False客户端收到服务器发送的FIN之后，发回ACK确认(标志位ACK=1),确认序号 为收到的序号加1，即丫+1=2。序号为收到的确认序号 X=2。Destination port: http (SO)旦匸旧2市JccIex: log5总quEncE 门urnbr : 2(i世lat 1 ve 5equence number|Acknowledgment number? 2| (rela.tive wuk number) lRk定r 1总叮口巴 鸥ri Flags 0x010(ack) H window siz value： 257calculated window size: ?57window size scaling factor j -1 (unknown) Checfcsum: 0x77fd val i dat io-n disabl edrr;nnri rhcfcsum: faIsp 1