关闭

[置顶] Tcpdump 和 Wireshark 的结合使用(二)

标签: wiresharktcptcpdump
685人阅读 评论(1) 收藏 举报
分类:

在上一篇博文中我们分别介绍了Tcpdump 和 Wireshark 的简单使用,这一节我们将介绍使用Wireshark 来分析 Tcpdump 抓住的网络包,主要分析TCP三次握手的过程。


1.首先我们在Linux系统运行 下面的命令抓包,并保存在 a.cap 文件中,      

  #tcpdump -i any -w  a.cap       

  然后运行一个简单的 socket 案例代码,于是我们在当前目录下就生成了 a.cap 文件。

2.用 wireshark 软件打开 a.cap 文件,如图



图中可以看到wireshark截获到了三次握手的三个数据包。

第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。


(1)第一次握手

第一次握手数据包,客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图



(2)第二次握手

第二次握手的数据包,服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图



(3)第三次握手

第三次握手的数据包,客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:



就这样通过了TCP三次握手,建立了连接,剩下的就是数据的传输过程,请大家自己分析,相信不是很难了哈。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:50629次
    • 积分:1098
    • 等级:
    • 排名:千里之外
    • 原创:53篇
    • 转载:92篇
    • 译文:0篇
    • 评论:8条
    最新评论