用 Wireshark 让你看见 TCP 到底是什么样!

最新推荐文章于 2024-08-26 00:37:37 发布
最新推荐文章于 2024-08-26 00:37:37 发布
阅读量2.5k 收藏 15
点赞数 1
文章标签: tcp/ip 网络 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BASK2311/article/details/128091915
版权

本文为掘金社区首发签约文章,14天内禁止转载,14天后未获授权禁止转载,侵权必究!

莫听穿林打叶声,何妨吟啸且徐行。

前言

当你看到这篇文章时,你只能看到已经渲染好的文字和图像,而网络数据的交互对我们来说,却是看不见的,所以学习计算机网络原理的时候就会觉得非常的抽象,这一度让我苦恼。

而且网络数据交换真实的模样,到底是不是真的如大多数文章所描绘的一样?

这些疑问让我早就想干这件事了。

所以不如就去看看离我们最近的协议 TCP 到底长什么样?

为了能“看见”TCP,我们需要借助 Wireshark 分析网络的利器。

Wireshark 是 Windows 最常用的网络抓包和分析工具,称得上手好剑大利器把我们对数据包一目了然。 (也是分析网络性能必不可少的利器)

如果是在 Linux 上网络抓包,那可以使用 tcpdump

(分析网络的工具还有很多,但是工具只是手段,重要的是能实现目的)

初试牛刀:解析各层协议栈

我们可以先在浏览器请求一个网址(xxx.com),然后通过 Wireshark 就可以直观的看到分析数据包的页面,其中就展示了各个网络包的头部信息。

如下图所示,协议一栏可以看到,我们这次抓包主要是 TCP 协议。

接下来,选中某一个网络包后,在下面可以清楚的看到有网络包的各行信息,分别对应TCP/IP协议的不同层级。以下图为例,分别表示:物理层、数据链路层、网络层、传输层

应用层如果有数据会显示第5层,即一共会出现5层。

可以对应到我们之前的TCP/IP模型。

  • 应用层
  • 传输层
  • 网络层
  • 网络接口层

然后,接着再往下,可以更清楚的看到各行信息其实就是各层协议栈的详细信息。

数据链路层 里的 MAC 头信息,以及源 MAC 地址和目标 MAC 地址字段等等;

IP 层 里看到 IP 头信息,以及Version 4 表示的是IPv4协议(互联网通信协议第四版),Src Port 表示的是网卡的ip地址Dst Port表示服务器的ip ,以及包长度等 IP 协议的各个字段的值和含义;

还有 TCP 层 里看到 TCP 头信息(这个我们后面展开细说);

Wireshark 让我们看到了各个分层的方式,以及每一层都有一个字段指向上一层,表明上一层是什么协议。

因为发送数据包的时候会在数据上依次加上应用层、传输层、网络层、链路层的头部,但是对方收到数据包后是从最底层开始层层剥去头部解包的,所以在每层上有一个字段指向上层,表明上层的协议,对方就知道下一步该怎么解包了。

我们可以看到网络分层就像有序的分工,每一层都有自己的责任范围和信息,上层协议完成工作后就交给下一层,最终形成一个完整的网络包。

回过头再去看这篇,的确就是《如果把网络原理倒过来看,从无到有,一切都清晰了(下) 》 所描绘的这样。

回过头来看真实 TCP 头格式

接着我们来看在上篇中的 TCP 报文头部的格式,真实的TCP 报文头部的格式是不是也是这样?

接着来,可以继续选中Wireshark中的TCP(Transmission Control protocol)层,可以清楚的看到以下几点信息:

  • 源端口目标端口,而TCP的包是没有IP地址的,毕竟那是IP层上的事。

  • 以及 TCP连接所需的四个字段,表示是同一个连接(src_ip, src_port, dst_ip, dst_port)。

如图所示(源端口是63123,目的端口是443;443则表示是HTTPS协议)

还有如下图所示。在 Wireshark 中可以看到 TCP 头格式中四个非常重要的字段:

  • Sequence Number序号,数据包的序号,用来解决网络包乱序问题。
  • Acknowledgement NumberACK——确认收到,用来解决不丢包的问题
  • Window(Advertised-Window),著名的滑动窗口(Sliding Window)用于解决流控的
  • Flags ,是包的状态,主要是用于操控TCP的状态的

接着打开TCP中的Flags(状态位)的可以看到 6个状态位,分别是ACK、SYN、FIN、URG、PSH、RST,如果是1表示有效。

而比较主要的是SYN、ACKFINSYN(SynchronizeSequence Numbers)表示建立连接时的同步信号;ACK(Acknowledgement)表示对收到的数据进行确认;FIN (Finish)表示后面没有数据需要发送,则意味着释放所建立的连接。

在上图中,Flags中的UTG紧急指针。只有当URG标志置为1时该字段才有效,可以告诉系统报文有紧急内容。

在状态位下还有一个强制性的字段 Checksum 校验和是由发送端计算和存储,由接收端进行验证。目的是为了发现 TCP 首部和数据在发送端到接收端之间发生的任何改动。如果接收方检测到校验有差错,TCP 段就直接丢弃。

好了,用 Wireshark 让你看见 TCP 到底是什么样的,后面还可以接着Wireshark看更多东西,例如TCP建立连接和释放连接,真正又是怎么样三次连接,四次挥手的?

我是一颗剽悍的种子,怕什么真理无穷,进一寸,有进一寸的欢喜。感谢各位伙伴的:关注点赞收藏评论 ,我们下回见!

「已注销」
关注
Wireshark 使用技巧详解
悦分享
11-05 4802
显示过滤器远比抓包过滤器更加灵活和强大。显示过滤器不会丢失数据包,只是为了增强用户阅读而将一部分数据包隐藏起来。丢弃数据包有时并非明智选择,因为一旦数据包被丢弃,这些数据包也就无法再恢复回来了。在分组列表面板上面的输入框,你可以输入显示过滤器,或者通过下拉显示近期使用的过滤器记录,来选择使用显示过滤器。在用户配置了显示过滤器之后,只有那些满足用户过滤器设置条件的数据包才会被显示出来。使用应用了显示过滤器之后,就会在Wireshark状态栏的第二列看到使用显示过滤器后的相关信息。
Wireshark抓包实例分析TCP重传
沧海一声笑的专栏
08-09 1万+
tcp重传机制
TCP协议详解(TCP报文、三次握手、四次挥手、TIME_WAIT状态、滑动窗口、拥塞控制、粘包问题、状态转换图)
热门推荐
青萍之末的博客
10-28 1万+
文章目录一、TCP报文二、三次握手三、四次挥手四、TIME_WAIT状态五、connect()、listen()和accept()三者之间的关系六、三次握手、四次挥手总结七、滑动窗口(流量控制)八、拥塞控制九、粘包问题十、TCP状态转换图 一、TCP报文 【重要的字段】: 序号:Seq序号,占32位,用来标识从TCP源端向目的端发送的字节流,发起方发送数据时对此进行标记; 确认序号:Ack序号...
Wireshark数据抓包分析之传输层协议(TCP协议)
ChuMeng1999的博客
07-29 5709
从上面可以很容易的看出,70,73,74帧是tcp的三次握手,428,429,430,431帧是四次断开的数据。分为两部分,即TCP三次握手,四次断开的数据。启动Wireshark,在Filter中输入tcp,点击Apply会看到很多的数据包,这是因为测试环境中,有很多的应用程序,与其服务器连接,使用TCP协议。1024~65535是临时端口组(尽管一些操作对此有着不同的定义),当一个服务想在任意时间使用端口进行通信的时候,操作系统都会随机选择这个源端口,让这个通信使用唯一的源端口。...
wireshark-tcp报文
最新发布
weixin_40073415的博客
08-26 585
wireshark查看客户端跟服务器之间的报文,了解其业务流程。分层介绍OSI体系结构,对应wireshark报文,如下图。图片:物理层数据链路层相邻两个设备的MAC地址。网络层本层主要负责将TCP层传输下来的数据加上目标地址和源地址传输层主要关注传输层中内容,flag。
wireshark查看TCP
sinat_35705952的博客
04-11 1573
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一次握手 SYN 包,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据包,每次超时重传的 RTO 是翻倍上涨的,直到 SYN 包的重传次数到达 tcp_syn_retries 值后,客户端不再发送 SYN 包。如果不启用 SACK,就必须重传丢失包之后的每个数据包。接收窗口的大小,是在 TCP 三次握手中协商好的,后续数据传输时,接收方发送确认应答 ACK 报文时,会携带当前的接收窗口的大小,以此来告知发送方。
TCP/IP——从wiresharkTCP(一)
www_dong的博客
07-18 6189
1. TCP三次握手和四次挥手 本次例子,我们将要访问的 http://192.168.3.200 服务端。在终端一用 tcpdump 命令抓取数据包: 接着,在终端二执行下面的 curl 命令: 最后,回到终端一,按下 Ctrl+C 停止 tcpdump,并把得到的 http.pcap 取出到电脑。 使用 Wireshark 打开 http.pcap 后,你就可以在 Wireshark 中,看到如下的界面: 我们都知道 HTTP 是基于 TCP 协议进行传输的,那么: 最...
wireshark视角来看TCP,太会玩了
04-19 1262
WireShark 主要分为这几个界面:1. Display Filter( 显示过滤器 ), 用于过滤2. Packet List Pane(封包列表 ), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表3. Packet Details Pane(封包详细信息 ), 显示封包中的字段4. Dissector Pane(16 进制数据 )5. Miscellanous( 地址栏,杂项 )
WireSharktcp通信数据的抓包
2301_77164542的博客
05-06 3084
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,iptcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
借助wireshark深入分析---tcp传输窗口
海渊_haiyuan的博客
05-16 4174
tcp传输窗口解析——借助wireshark深入分析 tcp传输报文时,会有“往返”的需要。因为发包之后并不知道对方能否收到,要一直等到确认包到达,这样就花费了一个往返时间。假如每发一个包就停下来等确认, 一个往返时间里就只能传一个包,这样的传输效率太低了。最快的方式应该是一口气把所有包发出去,然后一起确认。但现实中也存在一些限制:接收方的缓存(接收窗口)可能一下子接受不了这么多数据网络的带宽也...
wireshark的使用教程[整理].pdf
10-12
Wireshark 使用教程 Wireshark 是一款功能强大的网络协议分析软件,通过捕捉和分析网络协议,可以帮助用户理解 TCP/IP 中的各个协议是如何工作的。下面是 Wireshark 的使用教程,旨在帮助用户快速掌握 Wireshark 的...
Wireshark实验
m0_62034141的博客
01-08 807
草稿
使用 wireshark 分析 TCP 通信流程
mengxing9800的博客
10-29 2019
使用 wireshark 分析 TCP 通信流程 文章目录使用 wireshark 分析 TCP 通信流程一、wireshark是什么?二、使用步骤1.下载 wireshark2.启用 telnet 客户端2.启动 wireshark 并设置过滤器3.观察三次握手过程4.观察确认应答5.观察四次挥手总结 一、wireshark是什么? wireshark是 windows 下的一个网络抓包工具. 虽然 Linux 命令行中有 tcpdump 工具同样能完成抓包, 但是 tcpdump 是纯命令行界面,
如何使用Wireshark软件分析TCP协议
HXYDJ的博客
05-14 4748
在学习网络相关知识的时候,需要对网络协议进行分析。网络协议分析软件用的最多的就是 Wireshark 这个软件,今天就简单总结一下如何使用这个软件进行TCP三次握手和四次挥手的查看
Wireshark抓包分析TCP记录
qq_41812260的博客
03-10 482
文章目录1 tcp协议介绍:2,Wireshark抓包实例2.1三次握手2.2四次握手 1 tcp协议介绍:   从“TCP/IP”名字上来看,貌似这只是tcp协议和ip协议,但是实际上,这是很多协议很多协议组成的一个协议集合,我们 把这集合统称为 TCP/IP协议族,简称为TCP/IP协议。对于TCP/IP 协议族按层次分别分为以下 4 层:应用层、传输层、网络层和 数据链路层。通过下图...
TCP 协议内容分析><1>基于Wireshark分析TCP交互数据
TJ的博客
11-16 5805
基于Wireshark & TCP协议的双端通信的数据包分析
wireshark抓包分析数据怎么看 wireshark使用教程_wireshark怎么看
qq194582923的博客
04-27 4559
TCP包的具体内容从下图可以看到wireshark捕获到的TCP包中的每个字段。Wireshark过滤器设置初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用wireshark?可以在抓取数据包前设置如下。
Wireshark抓包分析TCP协议
weixin_33850015的博客
12-07 1333
  版权声明:本文为作者原创文章,可以随意转载,但必须在明确位置表明出处!!! 之前有一篇文章介绍了http协议「初识http协议」, http协议协议是基于tcp协议的,所以作者觉得有必要针对tcp协议做一个介绍,希望各位读者能够静下心来认真阅读,也可以自己去看看TCP/IP协议详解这本书,一定要让自己成为那20%的人。 TCP(Transmission Control Protoco...
TCP 的那些事 | 滑动窗口
u014023993的专栏
12-16 2108
Advertised Window Size 在文章《TCP 的那些事 | TCP报文格式解析》中讲述了TCP的报文格式,其中Window字段表示接收端告诉发送端自己还有多少缓冲区可以接收数据。于是发送端就可以根据这个接收端的处理能力来发送数据,而不会导致接收端处理不过来。该字段和Options字段中的Kind为3的可选项(Window Scale)结合,可以确定窗口大小,该Window字段也称...
wiresharkTcp Dup Ack是什么
07-13
Tcp Dup Ack是指在TCP通信中,接收方收到重复的确认包(ACK)时发出的一种通知。当发送方发送一段数据时,接收方会发送一个确认包(ACK)来告知发送方数据已经收到。如果接收方收到了重复的ACK,即接收方多次收到相同的ACK序列号,那么它会发送一个Dup Ack来通知发送方。这通常表示接收方在等待其他丢失的数据段,并且希望发送方重传这些丢失的数据段。 Tcp Dup Ack通常发生在网络中存在丢包或者乱序传输的情况下。通过检测和分析Tcp Dup Ack,可以帮助我们识别网络中的问题,例如网络拥塞、传输错误或者带宽限制等。Wireshark作为一个网络分析工具,可以捕获并显示这些TCP Dup Ack,并提供更详细的信息以供分析和故障排除。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值