利用Wireshark进行TCP协议分析

1、利用Wireshark进行TC的议分析利用Wireshark进行TCP协议分析TCP报文首部，如下图所示:0311 .源端口号：数据发起者的端口号，16bit2 .目的端口号：数据接收者的端口号，16bit3 .序号：32bit的序列号，由发送方使用4 .确认序号：32bit的确认号，是接收数据方期望收到发送方的下一个报文段的序号，因此确认序号应当是上次已成功收到数据字节序号加1。5 .首部长度：首部中32bit字的数目，可表示15*32bit=60字节的首部。一般首部长度为20字节。6.6bit,均为07 .紧急URG：当URG=1时，表示报文段中有紧急数据，应尽快传送。8 .确认比特ACK

2、：ACK=1时代表这是一个确认的TCP包，取值0则不是确认包。9 .推送比特PSH：当发送端PSH=1时，接收端尽快的交付给应用进程。10 .复位比特(RST)：当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再重新建立连接。n.同步比特SYN：在建立连接是用来同步序号。SYN=1,ACK=0表示一个连接请求报文段oSYN=LACK=1表示同意建立连接。12 .终止比特FIN:FIN=1时，表明此报文段的发送端的数据已经发送完毕，并要求释放传输连接。13 .窗口：用来控制对方发送的数据量，通知发放已确定的发送窗口上限。14 .检验和：该字段检验的范围包括首部和数据这两部分。由发端计

3、算和存储，并由收端进行验证。15 .紧急指针：紧急指针在URG=1时才有效，它指出本报文段中的紧急数据的字节数。16 .选项：长度可变，最长可达40字节TCP的三次握手和四次挥手:第一次握手数据包客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。如下图I1V 66IWS73 Standard query 0x0e4e a bd.jrxwxmt com103DNS232StandardqueryresponseOxOe4ca+1TCP665A0774m5YN8q=DWin-8192Len-DMSS-1460WS-25SACKF.1TCP66Lan-0

4、MSE=1460WE=25£ACK_F103TCP66443*53907SYNJCKeqHck-lWin-14600Len-0MSS-1440S.1TCP5453907-443ACKEeq=lAck=lwin=6601SLert=O.1TLSvl.；267ClientHalloLOWTCP66443-53903SYN,ACKSeq=OAck=lwin=14600Len=Omss1440sflTCP5453908-443ACMSeq=lAck=lWfn=6604SLen=O.1TLSvl,4267cHentHei1oL03TCPEO443-53907ackseq=lAck=21+win

5、=15680Len=O103TCPGO443-5390BFackSeq=lAck214wln=liGBQLen=01tisvi，2_I494_sprvprhpTTo,66DNS73StandardqueryOxOMeAbd*jrxwxm,com02DN£232Standardqueryresponse0x0e4cA123STCP6653907-4435YNSeq=OWirS192Len=0MSS=1460WS=256SACK_F.1|6652QOfl4435VM5cq=0win=8102LCn=0M£S=1J60WS=256£A£K_P

6、L03TCP66443-5390SYN,ACKSeq=OAck=lwin=14600Len=0MSS=1440S1tpM53007-44士A£kEeq=lAck=lwfn=6604&Len=O.1tlsvI,；267CHentHelloInwtcp66syn,ack15eq=nAck=1win=1-ifnnLert=OMS5=144asLlEeq=1Ak=ltfin6604gLen-01037CPGO4J3-53907ACKSeq-1Ack-214win-15680Len=O103TCP60443*53903fACKSeq-1Ack-214Wln-156SQLen-010孑T

7、I55.51AQiQ什Hn11n-iTransmissioncontrolProtocol.5rcPort:53508(53908),Ostport:sourcePort:5390B(539。Desrlnationpart:443£443streamindex:13fcequencenumber:0I(relativesequencenumber)HeaderLengthi32bytes回.000000000010=Flags：0x0021(SVIWindowsizevalue:8192calculatedwindowsize:8192、，田checksum:0x0J70valida

8、tdondisabledUrgentpoinrer;Q/+;nnrHnns,>17h<rps"1MavimiinL_spnmpnrsitpNn-nnpraTHnn/ndp、w第二次握手的数据包服务器发回确认包,标志位为SYN,ACK.将确认序号(AcknowledgementNumber)设置为客户的ISN力口1以.即0+1=1,如下图efinafionGeolP：unknownTransmissioncontrolprotocolSrcPort：443(443),DSTPort:53907(539075r5sourcePort：443(443)与equ白nt皂num匕e

9、cknowreaqnierrDestinationPort;5m907539。门streanindex:0TCPsegmentL日(rel at1 ve ack njmbereaaer Lengrr： bytesrelativesequencenumber)000000Cl0010=rlagq：Cx012Wirdowsizevalue:14600-,cculatzedhindowsize:146OQJl3checksum:0x6009walidationdi5H31edII1-TW_R_V"LRR一VRIT1第三次握手的数据包客户端再次发送确认包(ACK)SYN标志位为0,ACK标志

10、位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,如下图：3TransmissioncontrolProtcjcal,srcPort：53907口7),OstPort：44；sourceport：53907(53937)esTlnationPort:443<443)streamindex：atcpsegmenrLen;osequencenumberJivesequencenumber)Acknowledgmentnumber(relatIveacknumber)HeaderLength:20田.，000000010000=Flags:0

11、x010卜仁£)windowsizevalue:255calculatedwindowsize:66C4S出ndowsizesealincfacror:2561四次挥手Four-wayHandshake四次挥手用来关闭已建立的TCP连接TCP四次挥手服务端学户叫发;送FIM+ACK平 文,并/发送杼号为*.眼齐练发:送FIN+ACK 报文，并置裳送序号为Y,硬四片,为X+1服斗爆发甚ACK报文,并一发送序号内4确认序号为X+1客户就发送AGK戕文r笄置发送序目为41.确认序号为“11. (Client)>ACK/FIN>(Server)2. (Client)<-AC

12、K<-(Server)3. (Client)<-ACK/FIN<-(Server)4. (Client)->ACK->(Server)第一次挥手：客户端给服务器发送TCP包，用来关闭客户端到服务器的数据传送。将标志位FIN和ACK置为1,序号为X=1,确认序号为Z=1Alter:tcp/ExprNdTimeSourceDestinationProf634614-9L56B702610.21.32*52634714.916641010-24-32.526TCF634814,916642010.24-32-5210.25.67

13、.126TCP534014,9LQ4于Q1CL25.6乙12610,24+建.5?丁0635414.9i2398010.14.3C,102bTCF635514.932456010-25-67.12602TC635714.934033-010-14-3,1026TOEF：Frame6346;54byresanwire(432bits)(54byrestaptuxE)Ethernet工工.src:NeletXP_0b;ad:52(a匚；16;2d:Ob:ad:52),卜internetProtocolversion4,src:10.2

14、5.6-7.126-(10.25.&7.ETra.n5mi551oncantrolProtocol,srcPort;63726(6372&)rCsourcepore；63726(S3726)Destinatianport:http(80)snreajTtindvq；工09耳.1ative5equentenumber)1(relaxlveacknumber)Headerlength:20byreseFlags:0x011(fintack)calculateelwindowsize:257留:门dowsizesealingfactor:-1(unknown)-IchecksumsO

15、x77fdvalidatiortdisAbledGoodchecksum:Fal5eBadchecksum;False服务器收到FIN后）发回一个ACK（标志位ACK=1），确认序号为收到的序号加1,即X=X+1=2。序号为收到的确认序号=Z。jUJ2J-r1.WWJJ""IJ'"FJ”I!J-F/|773JP*-*»Jj-ZJIJJ、一i+EtlirreTnTsrc:cisco_2B;df(18:33：9d:23：df:43),dst:hei+interredProtocolversion4rsrc:L0.E4.M2.建(L2

16、).TransmissioncontrolProtocol*srcPort:http(SO),ostPort:soGrcport:http(80)Mdnmtionport163726(63726)inde：1091number:IIfeatid白sequencenumber)|4cknwlcdgmoitnumber:2|(rdatjoEacknumber)HfWdfrl-nqth;20bt4歹Flags;0x010(ai)Iwinoowsizevalue;：65079calculatedwindow*size:65079wirdowsize号匚alngfactor:-1unknown)Fche

17、cksum:Ox5d21(validationdisabledGoodchecksum:FalseE2dchecksum:Fa.1sci-SCQ/ACKanalysisThi-i5anack,tqTheEgmen匚inTh«rtttoackthesequentwas:0.000954.000seconds服务器关闭与客户端的连接，发送一个FIN。标志位FIN和ACK置为1,序号为丫=1,确认序号为X=2D«stinarionport!63726(6J726)->r<e，mYndex：109(relativesequencenumber)丈tkrKiwledqmervtnamber:2(relativeacknumber)HeaderIerath:20bvtesflags:0x011(FIN,ACK)windowsizevalue;65079calculatedwindowsize:65079windowsizestalingfactor:-1(unknown)3checksum;0x5d20validationdisabledGoodchecksum;Fa.1seBadchecksum:Faise客户端收到服务器发送的FIN之后，发回ACK确认（标志位ACK=1）,确认序号为收到的序号加1,即丫+1