利用Wireshark進(jìn)行TCP協(xié)議分析

1、利用Wireshark進(jìn)行TCP協(xié)議分析TCP報文首部，如下圖所示:1 .源端口號：數(shù)據(jù)發(fā)起者的端口號，16bit2 .目的端口號：數(shù)據(jù)接收者的端口號，16bit3 .序號：32bit的序列號，由發(fā)送方使用4 .確認(rèn)序號：32bit的確認(rèn)號，是接收數(shù)據(jù)方期望收到發(fā)送方的下一個報文段的序號，因此確認(rèn)序號應(yīng)當(dāng)是上次已成功收到數(shù)據(jù)字節(jié)序號加1。5 .首部長度：首部中32bit字的數(shù)目，可表示15*32bit=60字節(jié)的首部。一般首部長度為20字節(jié)。6 .保留：6bit,均為07 .緊急URG:當(dāng)URG=1時，表示報文段中有緊急數(shù)據(jù)，應(yīng)盡快傳送。8 .確認(rèn)比特ACK:ACK=1時代表這是一個確認(rèn)的TC

2、P包，取值0則不是確認(rèn)包。9 .推送比特PSH:當(dāng)發(fā)送端PSH=1時，接收端盡快的交付給應(yīng)用進(jìn)程。10 .復(fù)位比特（RST）:當(dāng)RST=1時，表明TCP連接中出現(xiàn)嚴(yán)重差錯，必須釋放連接，再重新建立連接。11 .同步比特SYN:在建立連接是用來同步序號。SYN=1,ACK=0表示一個連接請求報文段。SYN=1,ACK=1表示同意建立連接。12 .終止比特FIN:FIN=1時，表明此報文段的發(fā)送端的數(shù)據(jù)已經(jīng)發(fā)送完畢，并要求釋放傳輸連接。13 .窗口：用來控制對方發(fā)送的數(shù)據(jù)量，通知發(fā)放已確定的發(fā)送窗口上限。14 .檢驗和：該字段檢驗的范圍包括首部和數(shù)據(jù)這兩部分。由發(fā)端計算和存儲，并由收端進(jìn)行驗證。1

3、5 .緊急指針：緊急指針在URG=1時才有效，它指出本報文段中的緊急數(shù)據(jù)的字節(jié)數(shù)。16 .選項：長度可變，最長可達(dá)40字節(jié)TCP的三次握手和四次揮手：第一次握手?jǐn)?shù)據(jù)包客戶端發(fā)送一個TCP,標(biāo)志位為SYN,序列號為0,代表客戶端請求建立連接。如下圖jmia3rwiinn/ul,66dns73Standardquery0x0e4eabd+L03d5232StandardqueryresponseA.1TCP6653907-4435eq=OWi.=后192Len=0MSS=1460WS=2565ACK_P,1TCP6651二隨92Len=0M5S=1460wS-2565ACI

4、CPLOBTCP66443-539O7SYN3eqck=lWin=14600Len=0MSS=1440S,1TCP5453907-443ackSeq-1Ack-1W1n-6604SLen-0.1TLSV1.2267ClientHello103TCP56443-539065NfACKSeq=0Ack=lWin=14600Len=0MSS-14405.1TCP5453908-443ACKSeq=lw1rk=66048Len=0.1103TL5V1.；TCP267ClientHello60443-5J907ACK5eq-lAck-214win-15680Len-0103TCP60443-5390BA

5、CK5eq=LAck=214win=1568DLen=0物TISVI.7,66dns73Standardquery0x0e4eabd+103DN5232Standardqueryresponse0x0e4eA123.56.19S.1-1TCP6653907-443；5YN5eq=0ihin=8192Len=0MS5=1460WS=?565ACK_P115|6653S0S-443SYNSeqOwin-8192Len-0MSS1460WS-256SACK_PTCP|6644B-53907；5YN,ACKseq=oAck=lWln=14600Len=0MSS=1440S.1TCP5453907-44

6、3ackseq-1Ack-1win-66048Len-0.1TL5vl.2267Clientnello103TCP56443-3906CSYN,ACKSeq=0Ack=lWin=14600Len=0MSS-14405;三次握赤電9=1ACk=lw5n=66O48Len=0103TCP044353907aCKSeq-1Ack-214wi加15680Len-0L03TCP60443-53908ACKSeq=lAck=214Win=15680Len=01Ti1404qorvarHplIn3|TransmissioncontrolProtocol!srcPort:5M908C539O8)fDstPor

7、t:SourcePort:53908(53908)DestinationPort:443(443)streamindex:1Sequencenumber:0I(relativesequencenumber)HeaderLength:32bytes田000000000010=Flags：0x002lCSYN)Iwindowsizevalue:8192calculatedwindowsize:8192、土checksum:0x0370val1elationdisabledurgentpointer:0Nn-nnfrarinnhi門口、u;Wmrnnrinnc/17Hv/tqe、misvnmiimv

8、qriE4nTeTtfq第二次握手的數(shù)據(jù)包服務(wù)器發(fā)回確認(rèn)包,標(biāo)志位為SYN,ACK.將確認(rèn)序號(AcknowledgementNumber)設(shè)置為客戶的ISN加1以.即0+1=1,如下圖DestinationGeoIP：unknown3|Transm1ssioncontrolProtocol,srcPort:443(443)rDstPort:53907(53907),seSourcePort:443(443)DestinationPort:53907(53907)stream1ndex:0elativesequencenumber)0TCPsegmentLSEquEncEnumbEKKnowi

9、edgni府E11眥5:1|(relat-iveacknumber)windowsizevalue:14600.000000010010=Flags：0x01?Calculatedwindowsize:1460。.+checksum:0x8009validationd-lsabledNILECFl*門第三次握手的數(shù)據(jù)包客戶端再次發(fā)送確認(rèn)包(ACK)SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來ACK的序號字段+1,放在確定字段中發(fā)送給對方.并且在數(shù)據(jù)段放寫ISN的+1,如下圖：習(xí)TransmissioncontrolProtocoltsrcPort:53907(53907),DstPor

10、t;44：ivesequencenumber)(relativeacknumber)SourcePorr:53907(5M907)DestinationPort:44M(443)Streamindex:0TCPSegmentLeni0SequencenumberAcknowledgmentnumberHeaderLength:20byt比一000000010000-Flags：0x010windowsizevalue:258Calcularedwindowsize:66048vrindci/size5calinfactor:2561四次揮手Four-wayHandshake四次揮手用來關(guān)閉已建

11、立的TCP連接TCP四次揮手客戶嶂服務(wù)端客戶端發(fā)送FN+ACK報文.并置發(fā)送序5為X極務(wù)端發(fā)送ACK報文，并置發(fā)送序號為乙勘認(rèn)序號為將1眼蘇端發(fā)送FIN+ACK報文.并笆發(fā)送序號為Y,確認(rèn)序號為X+1客戶相發(fā)送ACK來文，并笆發(fā)送序號為XM.確認(rèn)序號為丫+11. (Client)-ACK/FIN-(Server)2. (Client)-ACK-(Server)3. (Client)-ACK/FINACK-(Server)第一次揮手：客戶端給服務(wù)器發(fā)送TCP包，用來關(guān)閉客戶端到服務(wù)器的數(shù)據(jù)傳送。將標(biāo)志位FIN和ACK置為1,序號為X=1,確認(rèn)序號為Z=1rLFittertcp*ExprNo.Ti

12、meSourceDestinationProt5m4714.916641010,24,32,5210.25.67,12bTCF6M814*916642010*24.32.5210.25.67*126TCFFrame6346：54bytesonwire(432bits)r54bytes匚叩lureEthernet工工，src:HewlettP_Cb:ad52(ac:16:2d:Obad:52),internetProtocolversion4.sre:26(10.25.67.TransmissianControlProtocolTSrcPort：6m726(63726),匚f

13、reativesequencenumber)21(relativeacknumber)國0fflsourceport:3726(63726)Destinationport:http(80)5grmindKE(relativesequencenumber)1(relativeacknumber)eaerlength:20bvtespFlags:0x011(fin,ack)TrfinaowsizevaTueizS/-Calculatedwindowsize:257windowsizesealingfactor:-1(unknown)qchecksum:0x77fdvalIdationdisable

14、dGoodChecksum:：Falsesadchecksum:False服務(wù)器收到FIN后，發(fā)回一個ACK（標(biāo)志位ACK=1）,確認(rèn)序號為收到的序號加1,即X=X+1=2。序號為收到的確認(rèn)序號=ZLUvijuvi-i.wirjwvijriwvj|niv、r1f，j#&t,w3,us產(chǎn)jm)iwiuEthernet工工，sre:Cisca_23:df:43(18:33:9d:23:df:43),Dst:H4：+iInterneTProtocolversion4,sre:10,24,32,52(10.24,32,52)T-iTransmissioncontrolProtocol,srePort:

15、http(80)rDstPort:sourceport:http(B0)Destinationport：63726(63726)Spe3M用於三：91IEe口ucncEnumber:11Acknowledgmentnumber:Heaaerlength:20bytesFlagst0x010(ack)v%indov;sizevalue:65079calculatedwirdowsize:65079windowsizesealingfactor-1(unknown)tchecksum:0x5d21valielationdisabledGoodchecksum:FalseBadchecksum:Fa

16、lsej5eq/ackanalysisThi之豆門&二k七0-hw導(dǎo)匚in.2:6m461Th電rtttoackthesegmentwas:0.000954000seconds服務(wù)器關(guān)閉與客戶端的連接，發(fā)送一個FIN。標(biāo)志位FIN和ACK置為1,序號為Y=1,確認(rèn)序號為X=2。Destinationport:63726(63726)5-reamiridx:1095-cjuerKRnumber:1sequencenumber)2(relativeacknumber)1jlagsOxOli(f!ntk)Jwindowsizevalue:65079calculatedwindowsi2e:65079windowsizescalingfacxor;-1(unknown)Bchecksum:Ox5d2。validationdisabledGoodchecksum:FalseBadChecksum:Fal5e客戶端收到服務(wù)器發(fā)送的FIN之后，發(fā)回ACK確認(rèn)(標(biāo)志位ACK=1),確認(rèn)序號為收到的序號加1,即Y+1=2。序號為收到的確認(rèn)序號X=2。Destinationportx