Wireshark抓包分析TCP连接、发送数据与断开过程

最新推荐文章于 2025-03-28 11:30:03 发布
最新推荐文章于 2025-03-28 11:30:03 发布
阅读量1.1w 收藏 53
点赞数 7
分类专栏: 协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lgc1990/article/details/104813691
版权

准备工具:

1. 两台连接到同个局域网的电脑,或者虚拟机;

2. 在其中一台电脑安装Wireshark;

3. 在两台电脑上面都有TCP&UDP测试工具软件

TCP连接建立过程(三次握手):

抓包分析TCP连接过程:

1.两台主机都分别打开TCP&UDP测试工具

这里设置主机A的IP地址为10.1.13.2, 主机B为10.1.13.3。

主机A作为客户端,主机B作为服务器端。

--------------------------------------------------------------------

主机A(10.1.13.2) 设置如下:

点击右上角的创建连接,弹出对话框。

类型选择TCP

目标IP选择10.1.13.3,端口号选择80

本机端口号选择指定为4001,当然也能随机端口,这里为了更好说明,选择固定的端口号。

如下图所示:

点击创建,如下图所示:

--------------------------------------------------------------------

主机B(10.1.13.3) 设置如下:

打开TCP&DUP测试工具,点击左上角创建服务器。

指定IP设置为10.1.13.3,本机端口:80。

点击确定之后如下图所示:

点击启动服务器。

--------------------------------------------------------------------

2. 打开Wireshark,选择目前在用的网卡,我这里是“以太网”,点击进入,开始抓包。

3.在主机A(10.1.13.2)中,点击TCP&UDP测试工具中的【连接】按钮。

此时,主机A如下:

主机B如下:

4.Wireshark软件点击左上角红色方框,停止抓包。

可以把抓到的包保存起来,点击文件->保存即可。

在应用显示过滤器搜索栏中输入ip.addr == 10.1.13.2 and ip.addr == 10.1.13.3 and tcp

这样就抓到了TCP连接三次握手过程的包。

5.分析TCP连接过程:

从每一条的初略信息可以看出,第一条是10.1.13.2客户端发给10.1.13.3服务器端的,发送的是一个seq=0, ctl = SYN的包;

第二条是服务器端10.1.13.3发给客户端10.1.13.2, seq = 0, ack = 0, ctl = SYN, ACK;

第三条是客户端发给服务器端 seq = 1, ack = 1, ctl = ACK。

跟我们平时看见的TCP连接三次握手过程一致。

----------------------------------------------------

进一步分析,点击第一条信息,弹出如下详细信息:

这里我们可以看见几个层的详细信息,和原始数据。

其中有一个Transmission Control Protocol, Src Port:4001, Dst Port:80, Seq:0,Len:0.

这个就是一个TCP的包。打开如下:

这里完整给我们展示了第一次握手时TCP包的详细过程。

根据TCP报文格式定义:

对比上面的信息,可以知道每一个数据代表的意思。这里不进行展开说明。

这里发的序列号码是seq=0;

SYN标志在控制位的倒数第二位,如上上图的红线部分;

以上两点说明了这个TCP第一次握手的通信过程。

其他两次握手过程不再展开讨论。

抓包分析TCP发送数据过程:

1. 在TCP&UDP测试工具中,假设这是客户端和服务器TCP是处于连接状态,我们在客户端发送一个hello到服务器,如下图。并按照上面介绍的方法抓包。

抓到的包如下:

第一个包为10.1.13.2发给10.1.13.3的一个TCP包,第二个为10.1.13.3发给10.1.13.2的一个回应。

由上面可以看出,TCP在发送数据的时候,seq=1, ack = 1,当然,这里的seq和ack会随着发送数据的次数而增加,不一定都是1。

控制位 ack, push被置为1;

最后我们还看见了发送的数据,共5个字节,为68 65 6c 6c 6f 翻译为字符串即为hello。

-------------------------------------------------

10.1.13.3回复10.1.13.2,它收到了一个TCP包,如下,seq = 1, 控制位ack置为1。

抓包分析TCP断开过程:

最后点击10.1.13.2客户端主机的TCP&UDP测试工具的"断开连接",再用wireshark抓包,得到如下:

TCP断开是4次握手,如下图:

对比抓包和这个示意图,可以更清晰展现TCP断开的过程。

10.1.13.2客户端发送FIN,ACK控制命令给10.1.13.3服务器,告诉服务器,你可以结束(final)连接了,请给我确认(ack)一下;

服务器收到之后,会先给客户端发送一个ACK,确认收到了客户端的请求;

然后服务器准备好断开之后,再给客户端发送FIN,ACK,告诉客户端,我服务器已经把准备好你断开结束(final)了,收到请给我确认(ack)一下。

客户端收到之后,再给服务器发送一个ACK,说明它收到了。然后进入一个称为TIME_WAIT的等待时间,这个时间要求是2个MSL,

MSL是一个IP包能在互联网上生存的最长时间。这样做是为了防止服务器收不到最后一个ACK,导致服务器资源的浪费。

服务器收到ACK之后就断开了。通信结束。

通过抓包可以更深入学习TCP连接的一些特性,有助于理解网络编程出现的一些问题。

 

WireSharktcp通信数据的抓包
2301_77164542的博客
05-06 5062
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
Wireshark抓包分析tcp连接的建立和断开
zsj777的专栏
11-13 932
1、建立连接 客户端ip 192.168.101.129 服务器ip 192.168.3.22 第一次握手:客户端主机A发送标志位位码SYN=1,随机产生seq number=x的数据包到服务器,客户端进入SYN_SEND状态,等待服务器的确认;服务端主机B由SYN=1知道客户端主机A要求建立联机; 第二次握手:服务端主机B收到请求后要确认联机信息,向A发送ack number(主机A的seq+1),标志位位码SYN=1,标志位位码ACK=1,随机产生seq=y的包,此时服务器进入SYN_.
Wireshark抓包分析,看这篇就够了!
xnxqwzy的博客
03-04 1763
Wireshark抓包分析WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类和网络分析师的喜爱。我们首先来介绍一下Wireshark这款软件。首先我们先认识一下这个软件的主界面是长这样的在这个界面中为Wireshark的主界面。
Wireshark抓包分析TCP“三次握手,四次挥手”.doc
07-08
Wireshark抓包分析TCP“三次握手,四次挥手”.doc
超详细的Wireshark抓包分析,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
03-28 976
还在靠抓包工具吭哧吭哧分析网络问题?OUT啦!今天就来聊聊网络安全界的“显微镜”——。这玩意儿可不是简单的抓包工具,它能把网络世界的数据包扒得底裤都不剩,让你看得明明白白!无论是定位网络故障,还是分析恶意流量,Wireshark 都是你居家旅行、摸鱼必备之良品。。别再对着一堆按钮发呆了,秒懂每个区域的功能!。从入门到入土,啊不,是入门!学会抓包,才能开始分析嘛。。数据包太多?不存在的!用过滤器精准定位你想分析的内容,效率提升 N 倍!包括按照协议、端口、主机名,甚至数据包内容进行过滤。
结合Wireshark抓包实战,图文详解TCP三次握手及四次挥手原理(附下载)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
09-01 3089
TCP(Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP是互联网核心协议之一,位于OSI模型的传输层,负责在互联网上的计算机之间提供可靠的数据传输服务。
Wireshark抓包分析TCP的建立断开过程
Dances with Wolves 的专栏
12-13 2160
Wireshark抓包分析TCP的建立断开过程 一、TCP建立连接 说明:在此图中HostA充当客户端角色,HostB充当服务器角色。 TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主动方发出SYN连接请求后,等待对方回答SYN,ACK。这种建立连接的方法可以防止产生错误的连接TCP使用的流量控制协议是可变大小的滑动窗口协议。 第一次握手:建立连接
使用Wireshark抓包分析TCP协议
new9232的博客
04-17 3万+
wireshark数据包详细栏每个字段对应的分层。 分层介绍 数据链路层 我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址 网络层 本层主要负责将TCP层传输下来的数据加上目标地址和源地址。 传输层 这一层用到了TCP协议 tcp包头 每个字段对应的TCP包头 TCP握手过程分析 TCP三次握手示意图 第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq。 第二次握手:服务端返回一个SYN(表示
Wireshark抓包分析TCP协议
weixin_33850015的博客
12-07 1456
  版权声明:本文为作者原创文章,可以随意转载,但必须在明确位置表明出处!!! 之前有一篇文章介绍了http协议「初识http协议」, http协议协议是基于tcp协议的,所以作者觉得有必要针对tcp协议做一个介绍,希望各位读者能够静下心来认真阅读,也可以自己去看看TCP/IP协议详解这本书,一定要让自己成为那20%的人。 TCP(Transmission Control Protoco...
使用WireShark抓包分析TCP_IP协议
十十办文武的博客
04-26 1万+
TCP/IP 协议是一组用于互联网通信的协议。它由两个主要协议组成:传输控制协议(TCP)和互联网协议(IPTCP/IP协议是互联网上最常用的协议之一,它使得不同类型的计算机和网络设备能够相互通信。TCP负责将数据分割成数据包,并确保它们在网络上的传输。IP负责将数据包从源地址路由到目标地址。在计算机网络(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用Wireshark抓包分析 TCP/IP 协议,用实践来验证理论。
Wireshark抓包——TCP协议分析
热门推荐
fortune_cookie的博客
06-11 7万+
一. 实验目的 通过本次实验,掌握使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及“TCP三次握手”。通过抓包分析数据包来理解TCP/IP协议,进一步提高理论联系实践的能力。 二. 实验内容 1.本次实验重点:利用WiresharkTCP包及TCP包的分析。 2.本次实验难点:分析抓到的TCP包。 3.本次实验环境:Windows 7,Wiresha...
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
wireshark抓取TCP连接断开实验
04-09
wireshark抓取TCP连接断开实验及对tcp协议的分析
Wireshark简单分析HTTPS传输过程-抓包过程 - manjingliu的编程之旅 - CSDN博客1
08-03
- 当通信结束时,双方可能会发送“Alert”消息通知对方即将关闭连接,然后断开连接。 通过Wireshark,我们可以深入理解HTTPS协议的每一个细节,如加密套件的选择、证书验证过程以及密钥协商的步骤。这对于网络安全...
Wireshark数据抓包分析之传输层协议(TCP协议)
ChuMeng1999的博客
07-29 5906
从上面可以很容易的看出,70,73,74帧是tcp的三次握手,428,429,430,431帧是四次断开的数据。分为两部分,即TCP三次握手,四次断开的数据。启动Wireshark,在Filter中输入tcp,点击Apply会看到很多的数据包,这是因为测试环境中,有很多的应用程序,其服务器连接,使用TCP协议。1024~65535是临时端口组(尽管一些操作对此有着不同的定义),当一个服务想在任意时间使用端口进行通信的时候,操作系统都会随机选择这个源端口,让这个通信使用唯一的源端口。...
Wireshark抓包分析TCP协议Fiddler 抓包解密HTTPS
clyrjj的博客
12-10 2646
文章目录一、TCP协议通信过程讲解二、Wireshark抓包验证三、了解Fiddler四、Fiddler抓包五、总结六、参考 一、TCP协议通信过程讲解 1、 TCP(Transmission Control Protocol 传输控制协议)是一种面向连接(连接导向)的、可靠的、 基于IP的传输层协议。 2、 OSI的七层模型: TCP工作在网络OSI的七层模型中的第四层——Transport层,IP在第三层——Network层,ARP 在第二层——Data Link层;在第二层上的数据,我们把它叫
Wireshark抓包分析 TCP协议
wzhy2016的博客
12-04 3593
Wireshark抓包分析 TCP协议
使用Wireshark抓包分析TCP协议:三次握手和四次挥手
m0_65890285的博客
04-18 1893
为了更好的学习和理解TCP协议的连接断开连接过程,我们来引入一个非常适合用来学习网络协议的抓包工具Wireshark。这个抓包工具可以详细看到每一层网络报文的详细信息
wireshark查看TCP
sinat_35705952的博客
04-11 2672
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一次握手 SYN 包,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据包,每次超时重传的 RTO 是翻倍上涨的,直到 SYN 包的重传次数到达 tcp_syn_retries 值后,客户端不再发送 SYN 包。如果不启用 SACK,就必须重传丢失包之后的每个数据包。接收窗口的大小,是在 TCP 三次握手中协商好的,后续数据传输时,接收方发送确认应答 ACK 报文时,会携带当前的接收窗口的大小,以此来告知发送方。
wiresharkTCP
03-18
### 使用 Wireshark 抓取并分析 TCP 数据包 #### 准备工作 在使用 Wireshark 进行抓包之前,需要完成一些基本的准备工作。确保计算机上已安装 Wireshark 软件,并具备网络接口卡(NIC)权限以便捕获流量。启动程序后,在界面下方选择要监控的目标网卡设备[^2]。 #### 开始抓包 点击工具栏上的“开始捕捉数据包”按钮(通常是一个鲨鱼鳍图标),此时会实时显示通过选定网络适配器传输的所有数据流信息。为了减少无关干扰项,可设置过滤条件来限定只查看特定类型的通信记录。例如输入`tcp.port == 80`仅展示HTTP相关联部分[^3]。 #### 设置过滤规则 对于更精确的结果筛选,可以根据实际需求构建复杂的布尔表达式组合多种属性字段共同作用于查询语句之中。比如针对某个具体端口号或者IP地址范围内的交互行为做深入剖析。这里提到的一个例子就是利用 `tcp.port eq 13` 来专注于观察 daytime 协议下的客户机和服务端之间的联系状况。 #### 分析三次握手过程 当新建立一条TCP连接时,双方之间会发生著名的三步握手动作。第一个阶段由发起方发出SYN标志位置起始同步请求;第二个环节接收者回应带有相同SYN标记以及额外附加ACK确认信号的数据帧;最后一步则是原发方向目标节点回传单纯含有ACK标识符的消息以最终确立链路有效性[^4]。 #### 序列号确认号机制 在一个完整的通讯周期里,每当有一段有效载荷被成功递交出去之后,相应的另一侧就会依据先前所约定好的算法计算得出新的预期位置数值反馈回去告知对方自己已经准备就绪等待后续更多内容的到来。比如说如果最初发送的是字符串"hello",其长度为5字节,则下一轮回复中的ack值应该等于原始seq加上这五个单位大小之总和[^5]。 ```python # 示例 Python脚本用于自动化处理Wireshark导出文件 import pyshark def analyze_tcp_packets(pcap_file): capture = pyshark.FileCapture(pcap_file) for packet in capture: try: if 'TCP' in packet and hasattr(packet.tcp, 'stream'): src_port = packet.tcp.srcport dst_port = packet.tcp.dstport # 打印源端口、目的端口以及其他感兴趣的参数 print(f'Source Port: {src_port}, Destination Port: {dst_port}') except AttributeError as e: pass # 处理异常情况 if __name__ == "__main__": pcap_filepath = './example.pcap' analyze_tcp_packets(pcap_filepath) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值