使用Wireshark抓包分析TCP协议

已于 2022-12-31 17:37:13 修改
阅读量3w 收藏 437
点赞数 58
分类专栏: 网络协议 文章标签: 网络协议
于 2022-04-17 13:41:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/new9232/article/details/124225524
版权

wireshark数据包详细栏每个字段对应的分层。

1、分层介绍

1.1、数据链路层

我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址

1.2、网络层

本层主要负责将TCP层传输下来的数据加上目标地址和源地址。

1.3、传输层

这一层用到了TCP协议

tcp包头

每个字段对应的TCP包头

2、TCP握手过程分析

TCP三次握手示意图

第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq=0

第二次握手:服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求),并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1

第三次握手:客户端给服务端返回一个ACK(对服务端连接请求的应答),并更新自己的序列号seq=1,返回一个确认号ack=1

Wireshark分析握手过程

这是我发起连接请求后抓到的数据包

第一次握手

可以看到,客户端发起一个SYN请求,初始序列号为0

 

 第二次握手

服务端返回SYN+ACK,并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1

 

 第三次握手

客户端返回一个ACK,并且返回一个确认号ack=1,并且将自己的序列号seq更新为1

 到此,TCP三次握手就结束了。客户端与服务端之间已经成功建立起连接。

3、TCP数据传输过程分析

        我们常说TCP是可靠性的传输协议,那么它是如何实现可靠性的数据传输呢,就是通过序列号和确认应答提高可靠性。

        我们从客户端往服务端发送了两次数据,第一次发送了一个字符串"hello",第二次发送了一个字符串"word"。首先客户端发送“hello”时,初始序列号seq为1,服务端接收到数据后,会给一个应答,表示我已经收到了消息,并且这个应答号ack = seq + “接收到的数据长度”,客户端再继续发送时,序列号更新为服务端的应答号的值。

        下面我们就抓包看下这个过程。

        客户端分别向服务器发送了两次消息,第一次发送了一个字符串“hello”,第二次发送了字符串"word"。

        我先从客户端往服务器发送一个字符串 "hello",我们可以看下,大小为6个字节。

        可以看下初始序列号seq为1

         然后看下服务器返回了什么,服务器作了一个应答ack=7,表示接受到了客户端的信息

再看下第二次发送字符串"word"的情况,序列号seq更新为上一次服务端的应答号ack,变为7

 看下服务端的应答,确认号ack为12

 4、TCP四次挥手分析

        TCP四次挥手示意图

 第一次挥手:客户端发起一个FIN,表示客户端希望断开连接。

 第二次挥手:服务端返回一个ACK,表示对客户端断开请求的应答。

 第三次挥手:服务端发起一个FIN,表示服务端希望断开连接。

 第四次挥手:客户端返回一个ACK,表示对服务端断开请求的应答。

         理论上挥手是需要四次的,但抓包分析时,只抓到了三次挥手过程,第二次挥手和第三次挥手合并为一次了。

 第一次挥手

        客户端发起一个FIN请求(表示客户端希望断开连接),序列号seq=12,应答号ack=23。注意这里的应答是上一次数据通信过程中的应答。

第二次,第三次挥手

        服务端返回一个ACK(表示对客户端断开请求的应答) + FIN(表示服务端希望发起断开请求),应答号ack=13,序列号seq=23

 第四次挥手

         客户端返回一个ACK(表示对服务端断开请求的应答),应答号ack=24,序列号seq=13

【愚公系列】2023年04月 wireshark系列-数据抓包分析TCP协议
时光隧道
08-21 5万+
TCP协议是传输控制协议的缩写,是一种面向连接的协议,用于保证数据的可靠传输。在测试环境使用发包工具和Wireshark抓取TCP三次握手和四次断开的数据包。详细分析TCP协议的三次握手以及四次断开。
WireSharktcp通信数据的抓包
2301_77164542的博客
05-06 5068
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
Wireshark抓包分析TCP IP协议
05-03
能够使用抓包工具捕获网络中的数据包,对捕获的数据包进行筛选分析分析网络流量是否正常。 通过抓包分析应用层协议,客户端软件和服务端软件通信,交互过程。 通过抓包工具分析传输层协议如何建立TCP连接,如何实现可靠传输,如何实现流量控制,通信完毕如何释放连接。 通过抓包工具分析网络层协议的封装。
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码,也可以在一台电脑上开两个VS2019同时编译两个端,看自己的选择。实验环境:Window10系统开发工具:VisualStudio2019使用工具:Wireshark3.4.0下载Wireshark安装包,点击下面的链接提取,里面有2.6.4和3.2.7版本的注:我安装3.2.7版本的时候安装报错1603,百度了好久都没解决,但我室友安装时并没问题,所以我安装的是2.6.
Wireshark抓包分析,看这篇就够了!
最新发布
xnxqwzy的博客
03-04 1811
Wireshark抓包分析WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类和网络分析师的喜爱。我们首先来介绍一下Wireshark这款软件。首先我们先认识一下这个软件的主界面是长这样的在这个界面中为Wireshark的主界面。
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
TCP 协议内容分析><1>基于Wireshark分析TCP交互数据包
TJ的博客
11-16 5936
基于Wireshark & TCP协议的双端通信的数据包分析
Wireshark抓包分析TCP协议
weixin_33850015的博客
12-07 1457
  版权声明:本文为作者原创文章,可以随意转载,但必须在明确位置表明出处!!! 之前有一篇文章介绍了http协议「初识http协议」, http协议协议是基于tcp协议的,所以作者觉得有必要针对tcp协议做一个介绍,希望各位读者能够静下心来认真阅读,也可以自己去看看TCP/IP协议详解这本书,一定要让自己成为那20%的人。 TCP(Transmission Control Protoco...
使用WireShark抓包分析TCP_IP协议
十十办文武的博客
04-26 1万+
TCP/IP 协议是一组用于互联网通信的协议。它由两个主要协议组成:传输控制协议TCP)和互联网协议(IPTCP/IP协议是互联网上最常用的协议之一,它使得不同类型的计算机和网络设备能够相互通信。TCP负责将数据分割成数据包,并确保它们在网络上的传输。IP负责将数据包从源地址路由到目标地址。在计算机网络(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用Wireshark抓包分析 TCP/IP 协议,用实践来验证理论。
Wireshark抓包——TCP协议分析
热门推荐
fortune_cookie的博客
06-11 7万+
一. 实验目的 通过本次实验,掌握使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及“TCP三次握手”。通过抓包分析数据包来理解TCP/IP协议,进一步提高理论联系实践的能力。 二. 实验内容 1.本次实验重点:利用WiresharkTCP包及TCP包的分析。 2.本次实验难点:分析抓到的TCP包。 3.本次实验环境:Windows 7,Wiresha...
使用wireshark抓取TCP分析1
weixin_33905756的博客
03-01 2018
目录 前言 介绍 目的 准备工作 传输 创建连接 握手 生成密钥 发送数据 断开连接 结论 参考文献 ...
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
使用WireShark抓包分析TCP_IP协议_wiresharkip协议分析
2401_87555661的博客
11-12 1669
在(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用抓包分析 TCP/IP 协议,用实践来验证理论。
【网络通信】使用WireShark抓包分析TCP协议
weixin_43704348的博客
12-05 1973
目录一、实验目的:二、TCP协议解析三、抓包分析三次握手连接四、抓包分析四次握手断开五、参考 一、实验目的: 以“金庸梦“游戏的客户端连接服务器(10.1.230.41)、断开服务器为例,用wireshark抓包分析TCP协议的三次握手连接、四次握手断开,与计算机网络原理进行验证。 游戏客户端详见C#实现网游客户端与服务器的连接 二、TCP协议解析 1.连接建立 三次握手连接 三次握手过程分析: (1)首先A向B发出连接请求报文段,这时首部中的同步位SYN=1。TCP规定,SYN报文段不能携带数据。
Wireshark抓包分析 TCP协议
wzhy2016的博客
12-04 3627
Wireshark抓包分析 TCP协议
TCP协议报文讲解,Wireshark抓包,细致分析三次握手和四次挥手
Michelangeshaw的博客
11-02 2211
TCP(Transmission Control Protocol,传输控制协议)是面向连接、可靠的传输层协议。它在网络中通过三次握手建立连接,并确保数据包的可靠传输。TCP广泛应用于需要可靠数据传输的场景,例如HTTP、FTP、SMTP等协议的传输。
TCP 实战抓包分析
一蓑烟雨任平生
08-22 2万+
提纲 正文 显形“不可见”的网络包 网络世界中的数据包交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学习计算机网络的时候就会觉得非常的抽象,加大了学习的难度。 还别说,我自己在大学的时候,也是如此。 直到工作后,认识了两大分析网络的利器:tcpdump 和 Wireshark,这两大利器把我们“看不见”的数据包,呈现在我们眼前,一目了然。 唉,当初大学学习计网的时候,要是能知道这两个工具,就不会学的一脸懵逼。 tcpdump 和 Wireshark 有什么区别? tc...
Wireshark抓包协议分析
小恒的博客
03-15 2958
Wireshark抓包协议分析简单笔记
Wireshark抓包分析TCP/IP协议原理
12-31
### 使用Wireshark抓取和分析TCP/IP协议 #### 设置过滤条件 为了专注于特定类型的流量,在启动Wireshark并准备捕捉之前,应当设置显示过滤器。对于想要捕获的TCP报文而言,可以通过输入`tcp`作为捕获过滤器[^1]。 ```plaintext tcp ``` 当应用这个过滤器之后,Wireshark只会展示那些匹配到TCP协议的数据包,从而简化了后续的分析工作量。如果目标是更精确地定位某类IP地址相关的活动,则可以在上述基础上进一步添加源或目的IP地址作为附加筛选标准。 #### 查看详细信息 一旦成功截获感兴趣的TCP连接中的单个数据帧,用户能够通过双击该条目深入探究其内部结构。这一步骤允许观察者审查每一层封装的信息字段及其对应的十六进制表示形式,有助于理解各层次间交互的具体细节以及可能存在的异常情况[^2]。 #### 协议栈关系说明 值得注意的是,虽然在网络分层模型里提到过“IP位于TCP之下”,但这并不意味着两者之间存在隶属关系;相反,它们各自独立运作于不同抽象级别之上。具体来说,IP负责处理主机间的寻址与路由选择问题,而TCP则关注应用程序之间的可靠传输服务提供。 #### 实际操作案例分享 假设现在要监控一台服务器对外发起的所有HTTP请求(默认情况下运行在80号端口),那么除了基本的`tcp.port==80`之外还可以结合其他属性比如域名、路径等构建更加复杂的查询语句以便更好地满足实际需求[^4]: ```plaintext http && tcp.dstport == 80 ``` 这种做法不仅提高了效率也增强了灵活性,使得即使面对复杂多变的应用场景也能从容应对。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大草原的小灰灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值