利用Wireshark进行TCP协议分析

1、利用 Wireshark进行TCP协议分析TCP报文首部，如下图所示:1.源端口号：数据发起者的端口号，16bit2. 目的端口号：数据接收者的端口号，16bit3. 序号：32bit的序列号，由发送方使用4. 确认序号：32bit的确认号，是接收数据方期望收到发送方的下一个报文段的序号，因此确认序号应当是上次已成功收到数据字节序号加1。5. 首部长度：首部中 32bit字的数目，可表示15*32bit=60字节的首部。一般首部长度为20字节。6保留：6bit,均为07. 紧急URG :当URG=1时，表示报文段中有紧急数据，应尽快传送。8. 确认比特ACK : ACK = 1时代表这是一个确

2、认的 TCP包，取值0则不是确认包。9. 推送比特PSH :当发送端PSH=1时，接收端尽快的交付给应用进程。10. 复位比特（RST）:当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再 重新建立连接。11. 同步比特SYN :在建立连接是用来同步序号。SYN=1，ACK=0表示一个连接请求报文段。SYN=1 , ACK=1表示同意建立连接。12. 终止比特FIN : FIN=1时，表明此报文段的发送端的数据已经发送完毕，并要求释放传 输连接。13. 窗口：用来控制对方发送的数据量，通知发放已确定的发送窗口上限。14. 检验和：该字段检验的范围包括首部和数据这两部分。由发端计算和

3、存储，并由收端进 行验证。15. 紧急指针：紧急指针在 URG=1时才有效，它指出本报文段中的紧急数据的字节数。16. 选项：长度可变，最长可达 40字节TCP的三次握手和四次挥手:第一次握手数据包.1Ti 5vl. z 267 Cli ?nr HpI 1 n客户端发送一个 TCP,标志位为SYN，序列号为0，代表客户端请求建立连接。如下图-FW_rj- i_r n-wr/ 亠丄6GDMS73 standard query 0x0e4e a bcl. jrxwxm. comL03DNS23Z standard query r eaponse QxOee a izs,501乡5.丄+ 1TCP6

4、6 53907-443 SYN Seq=O Win=0192 Len=D MSS=1460 WS=25 5ACK_F+ 1TCP66 5390X4厂血U1 上単92 Len=0 MSS=146O W5=256 5ACK_FL03TCP師 44 J-KS3&OS¥NCKeqHck-l Wi D-14600 Lert-0 MSS-144Q S.1tcp&4 5907-443 ack 5eq=l Ack=l wirt=66048 Len=O1TI. SV1. i?67 Cli pnt HpI1n103TCPC6 44 3-53903 SYN, ACK Seq-Q Aclk-

5、1 Wln=lJ6Q0 Len-0 MSS-144 0 STCP54 53908-413 ACK £cq-l Ack-1 Win-660J8 Lcn-0*1TLSVl.；267 Client HelloL03TCP60 44 3-k53907 ACK 5eq-l Ack-214 win-15CB0 Lefl-QL03TCP60 443*53903 ACK Sq-1 Ack-214 Win-15680 Len-01 CHTH茸W51404 Sprvpr Hfll 1 n |Vjii i 6GDNS73 stancard query0x0e4e a bd. irxwxm, comL03D

6、NSZ3Z standard queryresponse QxQee a56.136.1TCP更 53907-4435YN5eq=C> Win=6193 Len=D 155=1460 桁=2蓟 5ACK f.1| ILF |师 53908-443synJ5eq=0 Win=0192 Len=D M55=14S0 W5=25C 5ACK FLOS| TCP|66 44 J-53907SYN,ACK. seq=o Ack=l wi n=14600 Len=0 MS5=144 0 5.1tcp54 5907-443心5eq=l Ack=l wi rt=66048 Len=OLdFDACK Se

7、q-Q Ack-1 Win=lJ600 Len-0 MSS-14J0 s saq-l Ack-1 wi r-660J8 Lcn-0103TCPL03TCPGO 44 35390? ACK 5eq-l Ack-214 Win-LSCBO L&fi-O60 443*53903 ACK Seq-1 Ack-214 Win-15680 Len-01 0耳TI 吕. 7=4 04 «匚呼匚 Hflljnsource Port: 5390B C539O0) Dsstination Part: 443 043 stream index: 1fcequence nuirber: 03 Tra

8、nami ssion control protocol, 5rc Port: 53905 (53908J, DST Forx: (relative sequence number :0± . . . . 0000 0000 0010 = Flags： OXOQ2|(£VNHeader Length: 32 bytesWi ndow size value: 8102cal cul*ted window wP疋已；S192 a checksum: OxC37O validaciQn disabledurgent pointer: 0i4- nnr nn -? hrr 户吧、 M

9、?i¥-imi im 烷anrrorTT 喘彳丁戸 Nn-Ctripr at-i nn hir)P*i u第二次握手的数据包服务器发回确认包,标志位为 SYN,ACK.将确认序号(Acknowledgement Number)设置为客 户的I S N加1以即 0+1=1,如下图Desrinarion GeoiP： unknown-i Transmission central Protocol, sre Port: 443 (44S) T Dst Port: 53907 (53907) . seSource Port: 443 (443)f SYN , AC<) 1ati e s

10、equence nunber) frel atH ve ack njmberDestination Port: 53907 C539O7) strea-n index: 0 TCP 血电nt |_甲一 semjencnumbeHeader Lengtr:a Dnes0000 0001 0010 =匚 1 ags : CxOliwindow size value: 14600Cal cul ated ndow size: 14 6OC u)E checksum: 0x5009 val i dation ci sabl ed第三次握手的数据包客户端再次发送确认包（ACK） SYN标志位为0,ACK

11、标志位为1并且把服务器发来 ACK的 序号字段+1,放在确定字段中发送给对方 并且在数据段放写ISN的+1,如下图：d Transmission Control protocol P Src Port: 5 390752907), Dst Port! 44.Source Port: 53907 (5397)Dest5natlon Port: 443 <44 3)Stream Index: 0ve sequence number) relative ark number)TCP segment LenX sequence n0x010 Q000 Q001000 = Flags:window

12、 size value: 25BACkncwledgmerit number Header Lengih: 20 bytcalculated windaw size; 66C4S rwindow si ze seal i nc factor; 2561四次挥手 Four-way Handshake四次挥手用来关闭已建立的TCP连接TCP四次挥手客户端算户端发爲冋附ACK抿文.幷曽发世吓号为X决务用发:區ACK按0并胃发送序号 为斗确认序巧为X”出器用丹送FIN4UK 报文,并冑发送存号 为虬翩只再号沟廉F齐户端九谨AGK怅 丸并置牌送序E为*1确认序号为WM1. (Client) - >

13、 ACK/FIN - > (Server)2. (Client) < - ACK < - (Server)3. (Client) < - ACK/FIN < - (Server)4. (Client) - > ACK - > (Server)第一次挥手：客户端给服务器发送TCP包，用来关闭客户端到服务器的数据传送。将标志位FIN和ACK置为1，序号为X=1，确认序号为 Z=1No.TiimeSourceDestinationProf6强五91 芮时010 25昭.12&10.24*32T口6347 14.9166410 10. 24- 32-

14、526TCF6348 14.9166420 10. 24- 32_ 526TCP(+ Frame 634 6: 54 byt«5 qh wire (4 32 bits) , 54 byx es ciptur e Ft- Ethernet II t src; newl ettP_Ob; ad; 52 (x; 16 ; 2d; Ob;盘；52) * S inrernex Protocol version 4 src: 10. 25.67* 126 CIO. 25. 67. t Transmiss-! an corttral Protocol,

15、src Port: 63Z25 (&372G)( C 5ource port: 63726 (63726) e5fi nar I on port: htr p (BO)strearn i ndex; 10915eauerKjufflbel(rel at i ve sequence number)品益Te<Jgin电电厂 1 (relate ve ack number "TieaSeTTnaTTK id bvteswindow size value:calculared window si2e: 2 57window 51 ze =匚 al 1 ng fact or :

16、-1 (unknown) -i checksuin; 0x77fd val 1 dation disabledGood checksum: FalssBid checksum: False服务器收到FIN后，发回一个ACK（标志位ACK=1）,确认序号为收到的序号加 1 ,即X=X+1=2 。序号为收到的确认序号=Z 。i+QETherret II, src: Cl sco_23: df :43 (LB: 33: 9d; 23: df ：if3) , Dsr: HE interret ProTocol version 4 t src: W. 24. JZ, 52 CIO- 24. 33, 52

17、 t Transmitsion control Protoco'l , src Part: http C80), Dst Port: source port: hrrp1 (raris&qu&nce number)(r el ative ack numberresxiraTlon port: 63726 (637?6) rstreni index: 1091AO5 ： 0x010 (ACK.) I naow size value: 65079lAcknowledgment number; 2W1calculared wnndovr 52e: 6079 Window si

18、;e sca11ng factor: -1 unknown)：L checksum: OxidZl validafion diiabled toed checksum: False Ead checksum: Fa.1 sei- seq/ack analysls This is£0SQQfn旦口匸 ifl更3£国1Th rtt to ack the sequent was:000954000 seconds服务器关闭与客户端的连接，发送一个FIN。标志位FIN和ACK置为1，序号为丫=1，确认序号为X=2。电占时灯址忆“ port : 63726 (6726)Stream -index 109egygncwfljbeiCrelat'i ve sequence number)丸 t knovJ 电 dgmmivt number: 2 (rel ati ve ack number)FJags： 0x011 (FIN,