使用Wireshark抓包分析TCP协议

已于 2022-12-31 17:37:13 修改
阅读量3.2w 收藏 453
点赞数 68
CC 4.0 BY-SA版权
分类专栏: 网络协议 文章标签: 网络协议
于 2022-04-17 13:41:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/new9232/article/details/124225524
本文详细介绍了Wireshark在数据包分析中的应用,重点讲解了TCP的三次握手和四次挥手过程。通过实例展示了如何使用Wireshark观察TCP连接的建立和关闭,以及在数据传输中如何确保可靠性。内容包括数据链路层、网络层和传输层的关键字段解析,以及TCP序列号和确认应答在保证数据传输可靠性中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

wireshark数据包详细栏每个字段对应的分层。

1、分层介绍

1.1、数据链路层

我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址

1.2、网络层

本层主要负责将TCP层传输下来的数据加上目标地址和源地址。

1.3、传输层

这一层用到了TCP协议

tcp包头

每个字段对应的TCP包头

2、TCP握手过程分析

TCP三次握手示意图

第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq=0

第二次握手:服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求),并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1

第三次握手:客户端给服务端返回一个ACK(对服务端连接请求的应答),并更新自己的序列号seq=1,返回一个确认号ack=1

Wireshark分析握手过程

这是我发起连接请求后抓到的数据包

第一次握手

可以看到,客户端发起一个SYN请求,初始序列号为0

 

 第二次握手

服务端返回SYN+ACK,并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1

 

 第三次握手

客户端返回一个ACK,并且返回一个确认号ack=1,并且将自己的序列号seq更新为1

 到此,TCP三次握手就结束了。客户端与服务端之间已经成功建立起连接。

3、TCP数据传输过程分析

        我们常说TCP是可靠性的传输协议,那么它是如何实现可靠性的数据传输呢,就是通过序列号和确认应答提高可靠性。

        我们从客户端往服务端发送了两次数据,第一次发送了一个字符串"hello",第二次发送了一个字符串"word"。首先客户端发送“hello”时,初始序列号seq为1,服务端接收到数据后,会给一个应答,表示我已经收到了消息,并且这个应答号ack = seq + “接收到的数据长度”,客户端再继续发送时,序列号更新为服务端的应答号的值。

        下面我们就抓包看下这个过程。

        客户端分别向服务器发送了两次消息,第一次发送了一个字符串“hello”,第二次发送了字符串"word"。

        我先从客户端往服务器发送一个字符串 "hello",我们可以看下,大小为6个字节。

        可以看下初始序列号seq为1

         然后看下服务器返回了什么,服务器作了一个应答ack=7,表示接受到了客户端的信息

再看下第二次发送字符串"word"的情况,序列号seq更新为上一次服务端的应答号ack,变为7

 看下服务端的应答,确认号ack为12

 4、TCP四次挥手分析

        TCP四次挥手示意图

 第一次挥手:客户端发起一个FIN,表示客户端希望断开连接。

 第二次挥手:服务端返回一个ACK,表示对客户端断开请求的应答。

 第三次挥手:服务端发起一个FIN,表示服务端希望断开连接。

 第四次挥手:客户端返回一个ACK,表示对服务端断开请求的应答。

         理论上挥手是需要四次的,但抓包分析时,只抓到了三次挥手过程,第二次挥手和第三次挥手合并为一次了。

 第一次挥手

        客户端发起一个FIN请求(表示客户端希望断开连接),序列号seq=12,应答号ack=23。注意这里的应答是上一次数据通信过程中的应答。

第二次,第三次挥手

        服务端返回一个ACK(表示对客户端断开请求的应答) + FIN(表示服务端希望发起断开请求),应答号ack=13,序列号seq=23

 第四次挥手

         客户端返回一个ACK(表示对服务端断开请求的应答),应答号ack=24,序列号seq=13

WireSharktcp通信数据的抓包
2301_77164542的博客
05-06 5273
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
使用WireShark抓包分析TCP_IP协议_wiresharkip协议分析
2401_87555661的博客
11-12 1792
在(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用抓包分析 TCP/IP 协议,用实践来验证理论。
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码,也可以在一台电脑上开两个VS2019同时编译两个端,看自己的选择。实验环境:Window10系统开发工具:VisualStudio2019使用工具:Wireshark3.4.0下载Wireshark安装包,点击下面的链接提取,里面有2.6.4和3.2.7版本的注:我安装3.2.7版本的时候安装报错1603,百度了好久都没解决,但我室友安装时并没问题,所以我安装的是2.6.
Wireshark抓包分析TCP IP协议
05-03
能够使用抓包工具捕获网络中的数据包,对捕获的数据包进行筛选分析分析网络流量是否正常。 通过抓包分析应用层协议,客户端软件和服务端软件通信,交互过程。 通过抓包工具分析传输层协议如何建立TCP连接,如何实现可靠传输,如何实现流量控制,通信完毕如何释放连接。 通过抓包工具分析网络层协议的封装。
Wireshark怎么抓包分析(非常详细),从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
06-06 3915
看完这篇文章,你是不是感觉Wireshark也没那么难了?只要掌握了基本概念和操作,你就可以像一位经验丰富的。
Wireshark抓包分析 TCP协议
wzhy2016的博客
12-04 4541
Wireshark抓包分析 TCP协议
利用wiresharkTCP抓包分析
qq_42567607的博客
07-23 6478
TCP本身没有分段的概念,它的sequencenumber和acknowledgenumber是使TCP是基于流的协议的支撑,TCPsegmentofareassembledPDU的出现是因为Wireshark分析了其上层的HTTP协议而给出的摘要,如果配置Wireshark不支持HTTP协议解析。第一行因为这个包是在主机上抓的,所以最外层的是通过数据链路层封装的,数据链路层会将数据包封装陈帧(Frame),帧的序号就是这个包的序号,该包共64字节。...............
Wireshark抓包分析TCP协议
weixin_33850015的博客
12-07 1500
  版权声明:本文为作者原创文章,可以随意转载,但必须在明确位置表明出处!!! 之前有一篇文章介绍了http协议「初识http协议」, http协议协议是基于tcp协议的,所以作者觉得有必要针对tcp协议做一个介绍,希望各位读者能够静下心来认真阅读,也可以自己去看看TCP/IP协议详解这本书,一定要让自己成为那20%的人。 TCP(Transmission Control Protoco...
使用WireShark抓包分析TCP_IP协议
十十办文武的博客
04-26 1万+
TCP/IP 协议是一组用于互联网通信的协议。它由两个主要协议组成:传输控制协议TCP)和互联网协议(IPTCP/IP协议是互联网上最常用的协议之一,它使得不同类型的计算机和网络设备能够相互通信。TCP负责将数据分割成数据包,并确保它们在网络上的传输。IP负责将数据包从源地址路由到目标地址。在计算机网络(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用Wireshark抓包分析 TCP/IP 协议,用实践来验证理论。
Wireshark抓包——TCP协议分析
热门推荐
fortune_cookie的博客
06-11 7万+
一. 实验目的 通过本次实验,掌握使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及“TCP三次握手”。通过抓包分析数据包来理解TCP/IP协议,进一步提高理论联系实践的能力。 二. 实验内容 1.本次实验重点:利用WiresharkTCP包及TCP包的分析。 2.本次实验难点:分析抓到的TCP包。 3.本次实验环境:Windows 7,Wiresha...
使用wireshark抓取TCP分析1
weixin_33905756的博客
03-01 2048
目录 前言 介绍 目的 准备工作 传输 创建连接 握手 生成密钥 发送数据 断开连接 结论 参考文献 ...
Wireshark抓包协议分析
小恒的博客
03-15 3226
Wireshark抓包协议分析简单笔记
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
【网络通信】使用WireShark抓包分析TCP协议
weixin_43704348的博客
12-05 2027
目录一、实验目的:二、TCP协议解析三、抓包分析三次握手连接四、抓包分析四次握手断开五、参考 一、实验目的: 以“金庸梦“游戏的客户端连接服务器(10.1.230.41)、断开服务器为例,用wireshark抓包分析TCP协议的三次握手连接、四次握手断开,与计算机网络原理进行验证。 游戏客户端详见C#实现网游客户端与服务器的连接 二、TCP协议解析 1.连接建立 三次握手连接 三次握手过程分析: (1)首先A向B发出连接请求报文段,这时首部中的同步位SYN=1。TCP规定,SYN报文段不能携带数据。
Wireshark数据抓包分析之传输层协议TCP协议
qq_45768092的博客
10-31 6789
Wireshark数据抓包分析之传输层协议TCP协议) 本实验主要介绍了利用wireshark进行数据抓包分析TCP协议,通过本实验的学习,你能够熟悉并掌握Wireshark的基本操作,加深对常用网络协议的理解。 实验简介 实验所属系列:Wireshark数据抓包分析 实验对象: 本科/专科信息安全专业、网络工程 相关课程及专业:TCP协议分析、网络编程实例教程、计算机网络 实验时数(学分):4学时 实验类别:实践实验类 预备知识 1.TCP协议的由来 上一次的课程详细介绍了UDP协议,可以知道该协议
基于 Wireshark 分析 TCP 协议
Flag少侠的博客
05-27 6653
TCP(Transmission Control Protocol)是一种面向连接的、可靠的传输层协议。它在网络通信中扮演着重要的角色,用于保证数据的可靠传输。TCP协议的特点如下:1. 面向连接:在通信前需要先建立连接,通信结束后再关闭连接。连接的建立和关闭过程需要进行三次握手和四次挥手。2. 可靠性:TCP提供可靠的数据传输,通过序列号、确认应答、超时重传、流量控制和拥塞控制等机制来确保数据的正确性和完整性。
wireshark实验之 TCP协议分析
qq_62159107的博客
07-07 1624
给定每个TCP段的发送时间和发送时间之间的差异收到确认后,这六个的RTT值分别是多少段?将通过从您的电脑向远程服务器传输一份150KB 的文件(一份 Lewis Carrol 的“爱丽丝梦游仙境”文本),并分析 TCP 传输内容的发送和接收过程来实现。传输控制协议TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。确认字段为1,该确认字段是通过客户端发送过来的请求中的Seq和发送的字节大小决定的;
Wireshark抓包分析TCP连接、发送数据与断开过程
lgc1990的博客
03-12 1万+
准备工具: 1. 两台连接到同个局域网的电脑,或者虚拟机; 2. 在其中一台电脑安装Wireshark; 3. 在两台电脑上面都有TCP&UDP测试工具软件 TCP连接建立过程(三次握手): 抓包分析TCP连接过程: 1.两台主机都分别打开TCP&UDP测试工具 这里设置主机A的IP地址为10.1.13.2, 主机B为10.1.13.3。 主机A作为客户...
Wireshark 分析 TCP 协议特性
01-24
### 使用 Wireshark 分析 TCP 协议特性的方法 #### 一、启动Wireshark并选择网络接口 为了开始捕获流量,需先打开Wireshark软件,在界面下方有一系列网卡名称列表。点击想要监听的网卡对应的按钮即可开启实时抓包工作。 #### 二、设置过滤条件以便专注于TCP流 由于网络上存在大量不同类型的协议报文,因此建议通过应用显示过滤器`tcp`来限定只查看TCP相关的数据帧[^2]。这有助于减少干扰信息,使关注点集中在目标对象之上。 #### 三、观察三次握手过程中的细节特征 当新的TCP连接被初始化时,会发生著名的“三次握手”。在这个过程中可以注意到如下特点: - 客户端向服务器发送SYN(同步序号)分组; - 服务器回应带有自己初始序列号以及对前一步骤中收到的数据进行了确认的SYN/ACK消息; - 最终由客户端发出仅含ACK标志位置1的数据段完成整个流程,并且此时双方都准备好交换有效载荷了[^3]。 ```bash # 这里提供了一个简单的命令行方式启动Wireshark进行特定端口上的TCP会话捕捉 tshark -f "tcp port 80" ``` #### 四、深入研究TCP头部字段含义及其作用 除了上述基本交互模式外,还应该熟悉其他重要组成部分如源地址、目的地址、端口号等基本信息;更重要的是理解那些可选参数所代表的意义,比如窗口大小缩放因子、时间戳选项等等,这些都会影响到性能表现和安全性方面的问题[^1]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大草原的小灰灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值