使用Wireshark抓包分析TCP协议

已于 2022-12-31 17:37:13 修改
阅读量2.3w 收藏 359
点赞数 41
分类专栏: 网络协议 文章标签: 网络协议
于 2022-04-17 13:41:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/new9232/article/details/124225524
版权

wireshark数据包详细栏每个字段对应的分层。

1、分层介绍

1.1、数据链路层

我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址

1.2、网络层

本层主要负责将TCP层传输下来的数据加上目标地址和源地址。

1.3、传输层

这一层用到了TCP协议

tcp包头

每个字段对应的TCP包头

2、TCP握手过程分析

TCP三次握手示意图

第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq=0

第二次握手:服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求),并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1

第三次握手:客户端给服务端返回一个ACK(对服务端连接请求的应答),并更新自己的序列号seq=1,返回一个确认号ack=1

Wireshark分析握手过程

这是我发起连接请求后抓到的数据包

第一次握手

可以看到,客户端发起一个SYN请求,初始序列号为0

 

 第二次握手

服务端返回SYN+ACK,并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1

 

 第三次握手

客户端返回一个ACK,并且返回一个确认号ack=1,并且将自己的序列号seq更新为1

 到此,TCP三次握手就结束了。客户端与服务端之间已经成功建立起连接。

3、TCP数据传输过程分析

        我们常说TCP是可靠性的传输协议,那么它是如何实现可靠性的数据传输呢,就是通过序列号和确认应答提高可靠性。

        我们从客户端往服务端发送了两次数据,第一次发送了一个字符串"hello",第二次发送了一个字符串"word"。首先客户端发送“hello”时,初始序列号seq为1,服务端接收到数据后,会给一个应答,表示我已经收到了消息,并且这个应答号ack = seq + “接收到的数据长度”,客户端再继续发送时,序列号更新为服务端的应答号的值。

        下面我们就抓包看下这个过程。

        客户端分别向服务器发送了两次消息,第一次发送了一个字符串“hello”,第二次发送了字符串"word"。

        我先从客户端往服务器发送一个字符串 "hello",我们可以看下,大小为6个字节。

        可以看下初始序列号seq为1

         然后看下服务器返回了什么,服务器作了一个应答ack=7,表示接受到了客户端的信息

再看下第二次发送字符串"word"的情况,序列号seq更新为上一次服务端的应答号ack,变为7

 看下服务端的应答,确认号ack为12

 4、TCP四次挥手分析

        TCP四次挥手示意图

 第一次挥手:客户端发起一个FIN,表示客户端希望断开连接。

 第二次挥手:服务端返回一个ACK,表示对客户端断开请求的应答。

 第三次挥手:服务端发起一个FIN,表示服务端希望断开连接。

 第四次挥手:客户端返回一个ACK,表示对服务端断开请求的应答。

         理论上挥手是需要四次的,但抓包分析时,只抓到了三次挥手过程,第二次挥手和第三次挥手合并为一次了。

 第一次挥手

        客户端发起一个FIN请求(表示客户端希望断开连接),序列号seq=12,应答号ack=23。注意这里的应答是上一次数据通信过程中的应答。

第二次,第三次挥手

        服务端返回一个ACK(表示对客户端断开请求的应答) + FIN(表示服务端希望发起断开请求),应答号ack=13,序列号seq=23

 第四次挥手

         客户端返回一个ACK(表示对服务端断开请求的应答),应答号ack=24,序列号seq=13

大草原的小灰灰
关注
  • 41
    点赞
  • 359
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Wireshark数据抓包分析之传输层协议TCP协议
ChuMeng1999的博客
07-29 5433
从上面可以很容易的看出,70,73,74帧是tcp的三次握手,428,429,430,431帧是四次断开的数据。分为两部分,即TCP三次握手,四次断开的数据。启动Wireshark,在Filter中输入tcp,点击Apply会看到很多的数据包,这是因为测试环境中,有很多的应用程序,与其服务器连接,使用TCP协议。1024~65535是临时端口组(尽管一些操作对此有着不同的定义),当一个服务想在任意时间使用端口进行通信的时候,操作系统都会随机选择这个源端口,让这个通信使用唯一的源端口。...
wireshark抓包
yiwenrong的博客
12-30 940
wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出...
Wireshark中的TCP协议分析
weixin_47763079的博客
01-30 1631
4.第四次挥手(ACK=1,ACKnum=y+1):客户端接收到来自服务器端的关闭请求,发送一个确认包,并进入TIME_WAIT状态,等待可能出现的要求重传的ACK包。3.第三次握手(ACK=1,ACKnum=y+1):客户端再次发送确认包(ACK),SYN标志位为0,ACK标志位为1,并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方,并且在数据段放写ISN的+1。3.第三次挥手(FIN=1,seq=y):服务器端准备好关闭连接时,向客户端发送结束连接请求,FIN置为1。
使用Wireshark抓包分析TCP协议_wireshark分析tcp协议
最新发布
2401_85015040的博客
05-16 1563
服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求),并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1:客户端给服务端返回一个ACK(对服务端连接请求的应答),并更新自己的序列号seq=1,返回一个确认号ack=1。
使用wireshark抓取TCP分析1
weixin_33905756的博客
03-01 1948
目录 前言 介绍 目的 准备工作 传输 创建连接 握手 生成密钥 发送数据 断开连接 结论 参考文献 ...
WireShark TCP分析
Fly_鹏程万里
10-20 1546
TCP是一种面向连接的、基于字节流的、可靠的传输层通信协议,面向连接意味着使用TCP的应用程序在传输数据前必须先建立连接,就如打电话一样需要先进行拨号等待对方响应之后才能开始说话,字节流是指两个应用程序通过TCP连接交换8 bit字节构成的字节流,TCP对字节流的内容不作任何解释,它并不知道传输的数据字节流是二进制数据,还是ASCII字符或者其他类型数据,对于字节流的解释由TCP连接双方的应用层解释,TCP协议通过以下几种机制来提高可靠性:确认机制:TCP协议采用确认机制来确保数据的可靠传输,发送方在发送数
如何使用Wireshark软件分析TCP协议
HXYDJ的博客
05-14 4520
在学习网络相关知识的时候,需要对网络协议进行分析网络协议分析软件用的最多的就是 Wireshark 这个软件,今天就简单总结一下如何使用这个软件进行TCP三次握手和四次挥手的查看。
Wireshark抓包:详解TCP三次握手报文内容
清菡的博客
03-28 1万+
一、抓包通过Wireshark这个抓包工具演示下正常能抓到tcp三次握手,能看到的内容是不是和上篇文章tcp三次握手中用图画出来的内容是一样的呢?现在就抓个包详细得讲解下。先选择我上网的网卡,然后点击这个蓝色的小鲨鱼,开始抓包了。现在它在开始抓包,我去访问一个页面。这是个https的连接,肯定是基于tcp的。点击红色按钮暂停。抓的是tcp协议,过滤下tcp协议的包。按下回...
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
宝藏女孩的成长日记
03-09 1万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
wireshark tcp抓包分析_使用wireshark分析tcp报文
weixin_39534149的博客
12-12 2448
TCP协议在网络过程中,是一个最常见不过的协议了。在分析tcp网络协议报文时,借助当前强力的工具wireshark可以起到很好的辅助作用。首先抓取了一个简单的http请求报文,选取其中的一次完整请求,追踪tcp流:可以在报文中看到tcp的3次握手,以及http 的request 和 response ,还有tcp的4次断开。另外整个封包列表的面板中也有显示,编号,时间戳,源地址,目标地址,协议,长...
Wireshark抓包分析TCP IP协议
05-03
通过抓包分析应用层协议,客户端软件和服务端软件通信,交互过程。 通过抓包工具分析传输层协议如何建立TCP连接,如何实现可靠传输,如何实现流量控制,通信完毕如何释放连接。 通过抓包工具分析网络层协议的封装。
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
Wireshark 抓包分析 Telnet 协议 Wireshark 是一种功能强大的网络抓包分析工具,能够对网络协议进行深入分析。在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制...
RTSP wireshark抓包分析
03-09
RTSP wireshark抓包分析
【网络安全 | 网络协议】结合Wireshark讲解TCP三次握手
等风来
12-25 4185
由上图可以看到,seq为1,表示客户端期望收到的下一个序列号是1;ack为1代表本机同意接受连接;syn为1并进入set状态,表示确认服务端(baidu.com)的同意(即确认服务器的序列号为0)在建立 TCP 连接时,需要进行三次握手,防止因为网络延迟、拥塞等原因导致的数据丢失或错误传输,确保双方都能够正常通信。由上图可以看到,seq为0,表示客户端的初始序列号为0;syn为1并进入set状态,说明本机请求建立连接并等待baidu.com的响应。由上图可以看到,seq为0,表示服务端的初始序列号为0;
Wireshark抓包分析TCP协议:三次握手和四次挥手
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-10 5354
面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下。
Wireshark学习 与 TCP/IP协议分析
迷途
11-09 1917
打开wireshark,显示如下网络连接。选择你正在使用的,(比如我正在使用无线网上网),双击可以先看下自己的ip地址和网关ip地址(看抓包数据时候会用到)
WireShark抓包分析
热门推荐
hebbely的博客
01-14 19万+
简述:本文介绍了抓包数据含义,有TCP报文、Http报文、DNS报文。如有错误,欢迎指正。 1、TCP报文 TCP:(TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP 是面向连接的所以只能用于点对点的通讯)源IP地址:发送包的IP地址;目的IP地址:接收包的IP地址;源端口:源系统上的连接的端口;目的端口:目的系统上的连接的端口。 T
wireshark抓包分析tcp
07-28
Wireshark是一款网络抓包工具,可以用来捕获和分析网络数据包。通过Wireshark抓包,我们可以获取到TCP/IP协议的数据包,并进行深入分析。 首先,我们需要确认我们要抓包的目标网站的IP地址,可以使用nslookup命令来查看。这是为了分析TCP连接时的源IP和目的IP。然后,我们可以使用ping测试工具或者直接在浏览器中打开目标网站,等待页面响应后立即停止Wireshark抓包。这样我们就可以查看抓到的数据包了。\[1\] 在Wireshark的主页上,我们会看到一堆捕获的包,但并不是所有的包都有用。因此,我们需要过滤掉无用的包。在过滤框中输入过滤条件,比如"ip.addr==目标IP地址 && tcp",然后按下Enter键就可以过滤出我们需要的包了。\[3\] 如果我们想分析TCP的三次握手过程,我们需要找到三次握手的包。首先,我们发送的第一个包是SYN包,所以我们可以找到SYN包。要注意检查源IP地址和目的IP地址是否一致。我们可以查看源和目的下面的项,包括Protocol、Length和Info的内容。\[2\] 通过Wireshark抓包分析数据包,我们可以更深入地理解TCP/IP协议,并提高理论联系实践的能力。 #### 引用[.reference_title] - *1* *3* [wiresharktcp包并分析](https://blog.csdn.net/Whoo_/article/details/121627530)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Wireshark抓包——TCP协议分析](https://blog.csdn.net/fortune_cookie/article/details/89632006)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值