《wireshark抓包现用图解TCP三次握手四次挥手详解》由会员分享,可在线阅读,更多相关《wireshark抓包现用图解TCP三次握手四次挥手详解(16页珍藏版)》请在装配图网上搜索。
1、wordwireshark抓包图解 TCP三次握手/四次挥手详解一.TCP/IP协议族 TCP/IP是一个协议族,通常分不同层次进展开发,每个层次负责不同的通信功能。包含以下四个层次:1. 链路层,也称作数据链路层或者网络接口层,通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。它们一起处理与电缆或其他任何传输媒介的物理接口细节。2. 网络层,也称作互联网层,处理分组在网络中的活动,例如分组的选路。网络层协议包括IP协议网际协议、ICMP协议Internet互联网控制报文协议,以与IGMP协议Internet组管理协议。3. 运输层主要为两台主机上的应用程序提供端到端的通信。在TCP
2、/IP协议族中,有两个互不一样的传输协议:TCP传输控制协议和UDP用户数据报协议。TCP为两台主机提供高可靠性的数据通信。他所作的工作包括把应用程序交给它的数据分成适宜的小块交给下面的网络层,确认接收到的分组,设置发送最后确认分组的超时时钟等。由于运输层提供了高可靠性的端到端通信,因此应用层可以忽略所有这些细节。而另一方面,UDP如此为应用层提供一种非常简单的服务。它只是把称作数据报的分组从一台主机发送到另一台主机,但并不保证该数据报能到达另一端。任何必须的可靠性必须由应用层来提供。4. 应用层负责处理特定的应用程序细节。包括Telnet远程登录、FTP文件传输协议、SMTP简单传送协议以与
3、SNMP简单网络管理协议等。wireshark抓到的包与对应的协议层如如下图所示:1. Frame:物理层的数据帧概况2. EthernetII:数据链路层以太网帧头部信息3. Internet Protocol Version 4:互联网层IP某某部信息4. Transmission Control Protocol:传输层的数据段头部信息,此处是TCP5. Hypertext Transfer Protocol:应用层的信息,此处是协议二. TCP协议 TCP是一种面向连接连接导向的、可靠的基于字节流的传输层通信协议。TCP将用户数据打包成报文段,它发送后启动一个定时器,另一端收到的数据进
4、展确认、对失序的数据重新排序、丢弃重复数据。 TCP的特点有:1. TCP是面向连接的运输层协议2. 每一条TCP连接只能有两个端点,每一条TCP连接只能是点对点的3. TCP提供可靠交付的服务4. TCP提供全双工通信。数据在两个方向上独立的进展传输。因此,连接的每一端必须保持每个方向上的传输数据序号。5. 面向字节流。面向字节流的含义:虽然应用程序和TCP交互是一次一个数据块,但TCP把应用程序交下来的数据仅仅是一连串的无结构的字节流 TCP报文首部,如如下图所示:1. 源端口号:数据发起者的端口号,16bit2. 目的端口号:数据接收者的端口号,16bit3. 序号:32bit的序列号,
5、由发送方使用4. 确认序号:32bit确实认号,是接收数据方期望收到发送方的下一个报文段的序号,因此确认序号应当是上次已成功收到数据字节序号加1。5. 首部长度:首部中32bit字的数目,可表示15*32bit=60字节的首部。一般首部长度为20字节。6. 保存:6bit, 均为07. 紧急URG:当URG=1时,表示报文段中有紧急数据,应尽快传送。8. 确认比特ACK:ACK = 1时代表这是一个确认的TCP包,取值0如此不是确认包。9. 推送比特PSH:当发送端PSH=1时,接收端尽快的交付给应用进程。10. 复位比特RST:当RST=1时,明确TCP连接中出现严重过失,必须释放连接,再重
6、新建立连接。11. 同步比特SYN:在建立连接是用来同步序号。SYN=1, ACK=0表示一个连接请求报文段。SYN=1,ACK=1表示同意建立连接。12. 终止比特FIN:FIN=1时,明确此报文段的发送端的数据已经发送完毕,并要求释放传输连接。13. 窗口:用来控制对方发送的数据量,通知发放已确定的发送窗口上限。14. 检验和:该字段检验的X围包括首部和数据这两局部。由发端计算和存储,并由收端进展验证。15. 紧急指针:紧急指针在URG=1时才有效,它指出本报文段中的紧急数据的字节数。16. 选项:长度可变,最长可达40字节wireshark捕获到的TCP包中的每个字段如如下图所示:三.
7、TCP三次握手 TCP建立连接时,会有三次握手过程,如如下图所示,wireshark截获到了三次握手的三个数据包。第四个包才是的,说明确实是使用TCP建立连接的。下面来逐步分析三次握手过程:第一次握手:客户端向服务器发送连接请求包,标志位SYN同步序号置为1,序号为X=0第二次握手:服务器收到客户端发过来报文,由SYN=1知道客户端要求建立联机。向客户端发送一个SYN和ACK都置为1的TCP报文,设置初始序号Y=0,将确认序号(Acknowledgement Number)设置为客户的序列号加1,即X+1 = 0+1=1, 如如下图:第三次握手:客户端收到服务器发来的包后检查确认序号(Ackn
8、owledgement Number)是否正确,即第一次发送的序号加1X+1=1。以与标志位ACK是否为1。假如正确,服务器再次发送确认包,ACK标志位为1,SYN标志位为0。确认序号(Acknowledgement Number)=Y+1=0+1=1,发送序号为X+1=1。客户端收到后确认序号值与ACK=1如此连接建立成功,可以传送数据了。四. TCP四次挥手 TCP断开连接时,会有四次挥手过程,如如下图所示,wireshark截获到了四次挥手的四个数据包。下面来逐步分析四次挥手过程:第一次挥手:客户端给服务器发送TCP包,用来关闭客户端到服务器的数据传送。将标志位FIN和ACK置为1,序号为X=1,确认序号为Z=1。服务器收到FIN后,发回一个ACK(标志位ACK=1),确认序号为收到的序号加1,即X=X+1=2。序号为收到确实认序号=Z。服务器关闭与客户端的连接,发送一个FIN。标志位FIN和ACK置为1,序号为Y=1,确认序号为X=2。客户端收到服务器发送的FIN之后,发回ACK确认(标志位ACK=1),确认序号为收到的序号加1,即Y+1=2。序号为收到确实认序号X=2。16 / 16
wireshark抓包现用图解TCP三次握手四次挥手详解
