wireshark抓包图解TCP三次握手四次挥手详解

wireshark抓包图解TCP三次握手/四次挥手详解一.TCP/IP协议族TCP/IP是一个协议族，通常分不同层次进行开发，每个层次负责不同的通信功能。包含以下四个层次：应用层Http,Telnet.Ftp.Email,DN5藩朋说传输层tcpajudp网络层沪.ICMP,ARP,RAFtP和吕CfOTF防汉等畦路层设备驱动程产及覆IIP.链路层，也称作数据链路层或者网络接口层，通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。它们一起处理与电缆（或其他任何传输媒介）的物理接口细节。.网络层，也称作互联网层，处理分组在网络中的活动，例如分组的选路。网络层协议包括IP协议（网际协议）、ICMP协议（Internet互联网控制报文协议），以及IGMP协议（Internet组管理协议）。.运输层主要为两台主机上的应用程序提供端到端的通信。在TCP/IP协议族中，有两个互不相同的传输协议：TCP（传输控制协议）和UDP（用户数据报协议）。TCP为两台主机提供高可靠性的数据通信。他所作的工作包括把应用程序交给它的数据分成合适的小块交给下面的网络层，确认接收到的分组，设置发送最后确认分组的超时时钟等。由于运输层提供了高可靠性的端到端通信，因此应用层可

以忽略所有这些细节。而另一方面，UDP则为应用层提供一种非常简单的服务。它只是把称作数据报的分组从一台主机发送到另一台主机，但并不保证该数据报能到达另一端。任何必须的可靠性必须由应用层来提供。.应用层负责处理特定的应用程序细节。包括Telnet（远程登录）、FTP（文件传输协议）、SMTP（简单邮件传送协议）以及SNMP（简单网络管理协议）等。3^033110010+25.67*12€U52.4989000010.24. SS-SOlO5fi0Q103^033110010+25.67*12€U52.4989000010.24. SS-SOlO5fi0Q10+24.3?»55i2734010.2^6610.2^.35.5SId.24,32.5510.25.O'.12610,25J6rx12610.J3,£7.156f*9-tm? ?羽工hbx工力电财-un> Proioefilversion415TC：工，，帛.本工工24―>>Transmlssfoncontrolrrorocolb5rcPori:6*75金■^typert-aKtTransferProtocolFrame:物理层的数据帧概况EthernetII:数据链路层以太网帧头部信息InternetProtocolVersion4:互联网层IP包头部信息TransmissionControlProtocol:传输层的数据段头部信息，此处是TCPHypertextTransferProtocol:应用层的信息，此处是HTTP协议二TCP协议TCP是一种面向连接（连接导向）的、可靠的基于字节流的传输层通信协议。TCP将用户数据打包成报文段，它发送后启动一个定时器，另一端收到的数据进行确认、对失序的数据重新排序、丢弃重复数据。TCP的特点有：TCP是面向连接的运输层协议每一条TCP连接只能有两个端点，每一条TCP连接只能是点对点的TCP提供可靠交付的服务TCP提供全双工通信。数据在两个方向上独立的进行传输。因此，连接的每一端必须保持每个方向上的传输数据序号。面向字节流。面向字节流的含义：虽然应用程序和TCP交互是一次一个数据块，但TCP把应用程序交下来的数据仅仅是一连串的无结构的字节流TCP报文首部，如下图所示：3号唯口号段位说LUG；TCP包首邮TCP报文首部，如下图所示：3号唯口号段位说LUG；TCP包首邮16R-符口大小时位施验制1位由.源端口号：数据发起者的端口号，16bit.目的端口号：数据接收者的端口号，16bit.序号：32bit的序列号，由发送方使用.确认序号：32bit的确认号，是接收数据方期望收到发送方的下一个报文段的序号，因此确认序号应当是上次已成功收到数据字节序号加1。.首部长度：首部中32bit字的数目，可表示15*32bit=60字节的首部。一般首部长度为20字节。.保留：6bit,均为0.紧急URG：当URG=1时，表示报文段中有紧急数据，应尽快传送。.确认比特ACK:ACK=1时代表这是一个确认的TCP包，取值0则不是确认包。.推送比特PSH:当发送端PSH=1时，接收端尽快的交付给应用进程。.复位比特（RST）：当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再重新建立连接。.同步比特SYN：在建立连接是用来同步序号。SYN=1，ACK=0表示一个连接请求报文段。SYN=1，ACK=1表示同意建立连接。.终止比特FIN:FIN=1时，表明此报文段的发送端的数据已经发送完毕，并要求释放传输连接。.窗口：用来控制对方发送的数据量，通知发放已确定的发送窗口上限。

.检验和：该字段检验的范围包括首部和数据这两部分。由发端计算和存储，并由收端进行验证。.紧急指针：紧急指针在URG=1时才有效，它指出本报文段中的紧急数据的字节数。.选项：长度可变，最长可达40字节wireshark捕获到的TCP包中的每个字段如下图所示：Si2«：后579打value:windowWindow{CilculicedrEtherneTllSi2«：后579打value:windowWindow{Cilculiced।firtemeipfotocoI*«rs1«n4fsrc:「WansmissioncontrolPrciccalParcPore:।sourceporri(6337O>Dearinitionport:http(60)(Strtilmindex:0]Sequencenuober:1(relativesequerci(Next，equ犯n亡rnuntier:112©(relatlviAcknowledgmtnc:rubber:1(relative><前町aes-erved：NotsetN0Fic«:NotsetCongestion口用Rei；「一「，•GCN-tcho:Notset；「一「，•Urgent;Not5flitAcknowledgmentiSet£windowsizescalingfactor;Z5E]>checksttm：gx&B€2[validationdisabled][GoodChecksun:False!checksum:i=alse]：[SEQ/ACKanalysis][sycesfnflight:1128]；kHypertextTransferPralcccl三.TCP三次握手TCP建立连接时，会有三次握手过程，如下图所示，wireshark截获到了三次握手的三个数据包。第四个包才是http的，说明http的确是使用TCP建立连接的。下面来逐步分析三次握手过程：第一次握手:客户端向服务器发送连接请求包，标志位SYN（同步序号）置为1,序号为X=0Filter:Expre-sN0.Time SourceLestinationProt&c11925.742Bg9D0269TCP11945.7739-E6OD926TCP11955.77408900269TCP11995.7B16&7OCH269HTTP：rrr0Frame1192;66byteson re(528bits-),66bytescaptured0EthernetII,&rc:HewlettP_Db:ad:52(ac:16:2d:Ob:ad;S2),比+internetProlq-c(?1version41src:26CIO-25.67.UEjiTansmi5si-onCQritralProtocolf.野gF*tirt:63370：C63370)tD51Sourceport:63370(63370)Desfinafiorport:hrtztp(B。)「5t『Eami口加4:0]|口umbgr:口|(relativesequencenumber)pq|>Flags:0x002(5YN) |Windowsizevalue:8192[calculatedwindowsize:81921□checksum:0x6406[validationdisabled][Goodchecksum:False][Badchecksum:False]Sopfions:(12bytes),Maximinsegruenftsize?No-aperafioni第二次握手：服务器收到客户端发过来报文，由SYN=1知道客户端要求建立联机。向客户端发送一个SYN和ACK都置为1的TCP报文设置初始序号Y=0，将确认序号(AcknowledgementNumber)设置为客户的序歹I」号力口1，即X+1=0+1=1,如下图：

Filtertcp Tression...ClearNo.Time Source Destination Protoco-ILengthIn11925.74289300269TCP66611945.7739B60010.1^,12.5926TCPBEh11955.77408900260TCP54611995.78169700269HTTP1182Glrri田白1194:66bytesonwire(528bits),66bytescaptured(528bits'金！EthernetII,5rc:Cisco_23:df:43(IB:33:9d:23:df:43),Dst:HewlettP_!田rirrternetProt&colVersion4,Src:ID.14.12.59(9),Dst:10.-TransmissionControlProtocol,ErePort:http(80),DstPort63370।sourceport;hucp(80)oes-finafionport;63370C63370)「SbuarifkIbt;0]5一口11日门?曰numbEF;口IC「e]afivesequencenumber)，匚卜介口冏1，clgnieRtmi两匕日「；1[(relafiveacknumber)|(±!Flags:OxOlZ(5YN,ACK)~~IwlriduwIrevalue;oj_yziLealculatedwindowsize:B1921Echiecksurai:Ox/ccb[val1cJafionch5abied][Goodchecksum:Faise][Badchecksum:Faise]；±ioptions:(工七byres),Maximumsegmentsize,No-operationCnop),win(日[5eq/ackanalysis]「T鹿~is11mn 1：口th，BeqHerrt~infr^n『：工工92~|[TheRTTtoACK：thesegmentnms:0.051087000seconds]18位瓯进口号16林目闱揣口号Ci；」号列Y=018位瓯进口号16林目闱揣口号Ci；」号列Y=0唧也觇讽呼号：X+1-1】爷位国口大小hM也'：达和川位一kj^：'l设顶4位首部工2第三次握手：客户端收到服务器发来的包后检查确认序号(AcknowledgementNumber)是否正确，即第一次发送的序号加1(X+1=1)。以及标志位ACK是否为1。若正确，服务器再次发送确认包，ACK标志位为1,SYN标志位为0。确认序号(AcknowledgementNumber)=Y+1=0+1=1，发送序号为X+1=1。客户端收到后确认序号值与ACK=1则连接建立成功，可以传送数据了。Time SourceDestinationProtocolLe-ngtl11925.74289900269TCPnLL945.77390600926TCP6LL955.77408900269TCP511995.7SL6970026LG.14.12.59HTTPlierrr田Frame1195:54bytesonwlre<422bits),54bytescaptured(432tr!+1EthernetII,src:Hew!ettP_Ob:ad:52Cac:16:2d:Ob:ad:52),Dst:AllInterRetProtocalVersion4,Src:ID.25.67.126(ID.25.67.126).Ds□Tran-smiss1ancontrolPratocol,srcPort:63370(6337o5,DstPort:sourceport:63370CS337D)Desfir^at1anport:http<60)「SEFdmindeK：01I七白niiMbcF:工(4sequencenumber)4dqncntnuHtbc》：1[(pelafiveacknumber)口白nrl白尸lanqth"丁口口Flags:O-kOIO(ack)winaowsizevalue:2S7[calculatedwindowsize:65792][windowsizesealingfactor:256]Checksum:Ok63fa[validat.iondisabled][CoodChecksunn:Faise][BadChecksum:Faise][SEQ/ACKanalysis]|~Th~i5~iminACEtoth-GEgmEnt~irt干「-7€[1工941[TheEtTTtoACKthesegmentwas:D.D0010300Dseconds]1弱IB3116位源/口号m位U的瑞口号罪行仔列号：X*1=1:Y+1=11位国URG0AGK1.PSH4RFT0aFIN0】6位旅口大小if位依啦相10位舐的指M如员数据次挥手TCP断开连接时，会有四次挥手过程，如下图所示，wireshark截获到了四次挥手的四个数据包。

客户端发送ACK服文卜并有发送序号为*客户端发送ACK服文卜并有发送序号为*十工确认序号为Y+1客户端发送FIN+ACK报遴并置.发送年号为工联笄端发送FIN+ACK报文•并置.发送序号为V,确式序号为X41服务湍发送ACK报戈卜并置发送序号为乙确认厅;弓为X+1下面来逐步分析四次挥手过程：第一次挥手：客户端给服务器发送TCP包，用来关闭客户端到服务器的数据传送。将标志位FIN和ACK置为1，序号为X=1，确认序号为Z=1。Filter:tcp -ExprNo. Time S-&UrceDestinationProt&34G14.19156670262TCP634714.91CC41026TCF634814.91€^420210.25,€7.126TGF634&14,G1C7130i262TCF635414.932^800710.25,€7.126TCF63S514.93245602602TCF635714.g3403100210.25.C7.126TCFFrame6346:54bytesonwire(432bits),54bytescaptur€Eth史『n史tII,Src:MiewlettP_Ob;ad:52(ac;16:2d;Ob:ad；52),*inrernexProtocolversion41&rc:26(10.25.&7,TransmssnoncontrolPrcxocal,srcFort;63725(63726),匚sourceport;^372^(63726)Desfinafionport:hrtp(80)班「七己巾imkx;2口汨J.：--.-：'L-"-" (relatIvesequencerumber):11(relatIveackrumber)HeacWlermti:20bvr史士SFlags:0x011(Flhl,ACK)|~~windowsizevaiue:Z'yi1Ecalcularcdwindowsize:257][windov;sizescalingfactor:-1(unknown)]□checksum:Qx77fd[valldaTlondisablcd][Goodchecksum:fhIse][Badchecksum:False]15小 313G位嚼设口号：6粒目的湘U号:堀—号:X=1期证确认呼号二丈=14便曾叫!；工保留£fiVLiURGACKfSH0RSTSYNFM10——小’M位修腕柏附桃彘急指tl |地理 1数据服务器收到FIN后发回一个ACK（标志位ACK=1），确认序号为收到的序号加1,即X=X+1=2。序号为收到的确认序号二乙

1 Filter;tep|T|Expr『ssi。No. Tima S-o-urceDestinationProtocol634614.9156B702610.24.a7.52TCP6-3471^1.31664Wi0,24.3^,5310.25,&7.12&TCP634B14.916642026TCP634守14,9167130262TCP635414.9323980026TCP635514.93245602610.14.3&1102TCP635714.9J40310026TCP+Fram启6347:60byt£sonwirc(4S0-bits)76Qbytescaptured(上iEthernetIT,Src:Cisco_23:df:43(18:33:9d:23:df:43)jDst:>TinternetProtoco-!Version4,Src:2(2),QTransmss-ionControlProtocol,SrcPort:http(80),DstPort:Sourceport:http(80)Desfinaxionpert;63726(63726)~ind史x;3091I户史ciu史门七史nu*h吧「；[Ifr€'[ativesequencenumber)l-knciYjl史dqm史ntFTHmbcr;2 (re1ativeacknumber)H史dclEirl^er^^tFi;上口bytz:|田F~I/g;ixtnio5年)^"wTnaow_5Tze^STueT65079Ecalculatedwindov/size:65079][window51zescalingfactor:-1(unknown)](3checksum:Ox5d21[validafiortdisabled][Goodchecksum:Faise][Badchecksum:Faise]日[eeq/ackanalysns]「Tbri-1$anACKterthw5白q「&n：tinfF-nae:「芸46~|[TheRTTtoACKthesegmervtwas:0-.000954-000seconds]q151AS1口号16也口的增口号位屋列号i”1肥慢硼认扉月；：X4-1=21位与%Y：-J.紧脚（fiURGAGKP5MRSTSYN帕也窿11大小用曲拄验刊田仇某意指it通跟数据

服务器关闭与客户端的连接，发送一个FIN。标志位FIN和ACK置为1，序号为Y=1，确认序号为X=2。Filter;tcpNo.Time SourceDestination634-614.S156B70-262G34714.916641026634S14,916642&1O.24.32.52&6升g14.91C713025iO.24.32.52635414.9323&S&O210.25.67,126635514,93245&02C10.14.36,102635714,934Q31&0210.25.67,126+ 6348:60bytesonwire(480bits)760bytes,capt+EthernetII?Src:Clsco_23:df(18:33:9d:23:df:43)?国inT^rnetProtocolversion4,sre:10.24.32,52(10.24-..：-Transm-issionconTrolProtocol,srcPort:http(8Q),besourceport:http(80)D^sfinAT-ionport:63726(63726)[-tr旧an-j/dex:工口9]一-.uen□吧number:1J」re~lativesequencenumber)■A-k门cic'"lndgmeirtnumber: (re1ativeack:nuniber)Header-吧门erth:2。trxrten[+]Flags:0x011(FIn7ACKWindows-izevalue:65079[calculatedwindowsize:65079][windowsize5calingfactor:-1(unknown)]□checksum:0x5d20[valida.fiq-rdisabled][Goodchecksum:Fai5e][B@dchecksurn:Faise]1516 311电工瘴料口号1砸目您空舞位序再内Y=1牌位MH卬产号：X+1=2i仲二心..•」保曲t6URGACKPSHRST£YNFFIn;位一口大小IE；位检验相忸位装总指H选项数据

客户端收到服务器发送的FIN之后，发回ACK确认（标志位ACK=1），确认序号为收到的序号加1,即Y+1=2。序号为收到的确认序号X=2。Filter:tcpNo.Time SourceDestinationProto(634614.9156E7O262TCP634714.9166410