Wireshark抓包:理解TCP三次握手和四次挥手过程

最新推荐文章于 2024-05-01 22:49:03 发布
最新推荐文章于 2024-05-01 22:49:03 发布
阅读量2.3k 收藏 31
点赞数 5
分类专栏: 网络编程 文章标签: tcp/ip wireshark 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tilblackout/article/details/134431658
版权

TCP是一种面向连接、端到端可靠的协议,它被设计用于在互联网上传输数据和确保成功传递数据和消息。本节来介绍一下TCP中的三次握手和四次挥手。

文章目录

1 TCP头部格式

TCP头部占据TCP段的前20个字节,其中包含端到端TCP套接字的参数和状态。如下图所示:

在这里插入图片描述

下面来逐个解释一下这些字段:

  • 源端口(Source port):16位,用于标识源端口号(发送方的TCP端口)
  • 目标端口(Destination port):16位,用于标识目标端口号(接收方的TCP端口)
  • 序列号(Sequence number):32位,指示在TCP会话期间发送了多少数据。当建立新的TCP连接时,初始序列号是一个随机值。
  • 确认号(``Acknowledgment Number`):32位,由接收方用于请求下一个TCP段。如果设置了ACK控制位,该字段包含段发送方期望接收的下一个序列号的值。一旦建立了连接,这个字段总是被发送。
  • 数据偏移(Data offset):4位,显示头部中32位字的数量,也称为头部长度
  • 保留数据(Reserved data):6位,保留字段,始终设置为零
  • 控制位标志(Control bit Flags):TCP使用9位控制标志来管理特定情况下的数据流,例如建立连接、发送数据和终止连接
    • URG: 与后面的紧急指针字段相关,当设置了此位时,数据应被视为优先于其他数据。
    • ACK: 与ACK相关,确认字段用于指示已成功接收到的数据量,如果设置了此字段,说明发送方期望接收方继续发送下一个TCP段
    • PSH: 推送功能,表示发送方希望接收方立即传输数据,而不必等到整个TCP段的数据都准备好再传输
    • RST: 重置连接,仅在存在无法恢复的错误时使用
    • SYN: 同步序列号,此标志用于设置初始序列号
    • FIN: 完成位用于结束TCP连接,因为TCP是全双工连接,所以双方都必须使用FIN位来结束连接
  • 窗口(Window):16位,指定接收方愿意接收多少字节
  • 校验和(Checksum):16位,用于对头部和数据进行错误检查
  • 紧急指针(Urgent Pointer):如果设置了URG控制标志,该值表示与序列号的偏移,指示最后一个紧急数据字节
  • 选项(Options):可选,长度可为0~320位之间的任意大小

2 wireshark抓包分析

程序流程:服务端监听本地环回地址127.0.0.1的12345端口,客户端则连接这个端口,连接上后服务端发送一个Hello, World!给客户端。

先来了解一下SEQACK的概念:

2.1 SEQ和ACK

客户端和服务器之间建立TCP连接时会进行三次握手。先来理解一下SEQACK的概念:

  1. 序列号(SEQ): 表示发送方发送的数据的起始位置。每发送一个新的数据段,序列号就会递增。
  2. 确认号(ACK): 表示接收方期望下次收到的数据的序列号。当接收方收到数据后,它会发送一个带有确认号的ACK,告诉发送方它已成功接收到了特定序列号之前的所有数据。
  3. 下一个期望的ACK: 当接收方收到一段数据时,ACK表示已成功接收的数据的下一个期望的序列号。因此,下一个期望的ACK号通常是上一个ACK号加上接收到的数据的长度。

2.2 三次握手

1、客户端发送SYN给服务端

在这里插入图片描述

  • 在wireshark中SEQ使用相对0的值,为的是方便分析,所以这里是0

从上图中可以看到SYN标识被设置:

在这里插入图片描述

2.服务端回复带有SEQACKSYN-ACK数据包

在这里插入图片描述

如下图所示:

在这里插入图片描述

3.客户端向服务器发送一个带有ACK号的数据包,确认服务器的序列号

在这里插入图片描述

如下图所示:

在这里插入图片描述

此时双方的SEQ已同步,以上就是三次握手的内容。下面客户端和服务器可以独立地发送和接收数据。

4.服务器向客户端发送“Hello, World!”

在这里插入图片描述

5.客户端向服务器发送一个ACK号,确认服务器的消息

上一个ACK号为1,长度为13,因此ACK号将为13+1=14。

在这里插入图片描述

2.3 四次挥手

接着上面的抓包来看,在程序中,服务端发送完“Hello, World!”后就关闭了客户端的socket。

1.服务端发送FIN给客户端

在这里插入图片描述

如下图所示:

在这里插入图片描述

2.客户端向服务器发送一个ACK号,确认服务器的FIN请求

在这里插入图片描述

如下图所示:

在这里插入图片描述

3.TCP是一种全双工连接,因此,客户端也向服务器发送一条消息以关闭连接

  • 前面的图中最后一行是红色的RST是我不小心直接关闭了程序,下面的图为重新抓的包,注意看最后两条即可

在这里插入图片描述

如下图所示:

在这里插入图片描述

4.服务器向客户端发送一个ACK号,确认客户端的FIN请求

在这里插入图片描述

如下图所示:

在这里插入图片描述

3 程序

本文的代码使用Windows环境下的网络编程库,所以需要在链接库中增加ws2_32

服务端

// Server.c

#include <winsock2.h>
#include <ws2tcpip.h>
#include <stdio.h>

int main() {
    WSADATA wsaData;
    SOCKET listenSocket, clientSocket;
    struct sockaddr_in serverAddr, clientAddr;
    int addrLen = sizeof(clientAddr);
    char buffer[1024] = "Hello, World!";

    // Initialize Winsock
    if (WSAStartup(MAKEWORD(2, 2), &wsaData) != 0) {
        fprintf(stderr, "WSAStartup failed\n");
        return 1;
    }

    // Create a socket
    if ((listenSocket = socket(AF_INET, SOCK_STREAM, 0)) == INVALID_SOCKET) {
        fprintf(stderr, "Socket creation failed\n");
        WSACleanup();
        return 1;
    }

    // Set up server address information
    memset(&serverAddr, 0, sizeof(serverAddr));
    serverAddr.sin_family = AF_INET;
    serverAddr.sin_addr.s_addr = inet_addr("127.0.0.1");
    serverAddr.sin_port = htons(12345);

    // Bind the socket
    if (bind(listenSocket, (struct sockaddr*)&serverAddr, sizeof(serverAddr)) == SOCKET_ERROR) {
        fprintf(stderr, "Bind failed\n");
        closesocket(listenSocket);
        WSACleanup();
        return 1;
    }

    // Listen for incoming connections
    if (listen(listenSocket, SOMAXCONN) == SOCKET_ERROR) {
        fprintf(stderr, "Listen failed\n");
        closesocket(listenSocket);
        WSACleanup();
        return 1;
    }

    printf("Server listening on 127.0.0.1:12345\n");

    // Accept a connection from a client
    if ((clientSocket = accept(listenSocket, (struct sockaddr*)&clientAddr, &addrLen)) == INVALID_SOCKET) {
        fprintf(stderr, "Accept failed\n");
        closesocket(listenSocket);
        WSACleanup();
        return 1;
    }

    // Send data to the client
    send(clientSocket, buffer, strlen(buffer), 0);

    printf("Data sent to the client\n");

    // Clean up
    closesocket(clientSocket);
    closesocket(listenSocket);
    WSACleanup();

    return 0;
}

客户端

// Client.c

#include <winsock2.h>
#include <ws2tcpip.h>
#include <stdio.h>

int main() {
    WSADATA wsaData;
    SOCKET clientSocket;
    struct sockaddr_in serverAddr;
    char buffer[1024];

    // Initialize Winsock
    if (WSAStartup(MAKEWORD(2, 2), &wsaData) != 0) {
        fprintf(stderr, "WSAStartup failed\n");
        return 1;
    }

    // Create a socket
    if ((clientSocket = socket(AF_INET, SOCK_STREAM, 0)) == INVALID_SOCKET) {
        fprintf(stderr, "Socket creation failed\n");
        WSACleanup();
        return 1;
    }

    // Set up server address information
    memset(&serverAddr, 0, sizeof(serverAddr));
    serverAddr.sin_family = AF_INET;
    serverAddr.sin_addr.s_addr = inet_addr("127.0.0.1");
    serverAddr.sin_port = htons(12345);

    // Connect to the server
    if (connect(clientSocket, (struct sockaddr*)&serverAddr, sizeof(serverAddr)) == SOCKET_ERROR) {
        fprintf(stderr, "Connection failed\n");
        closesocket(clientSocket);
        WSACleanup();
        return 1;
    }

    // Receive data from the server
    int bytesRead = recv(clientSocket, buffer, sizeof(buffer), 0);
    if (bytesRead > 0) {
        buffer[bytesRead] = '\0'; // Null-terminate the received data
        printf("Received data from server: %s\n", buffer);
    } else {
        fprintf(stderr, "Error receiving data\n");
    }
    while(1)
    {
        if(recv(clientSocket, buffer, sizeof(buffer), 0) == 0)
        {
            break;
        }
    }
    // Clean up
    closesocket(clientSocket);
    WSACleanup();

    return 0;
}
tilblackout
关注
  • 5
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
wireshark抓包分析tcp三次握手四次挥手
06-25
TCP/IP通信中,TCP连接的建立和关闭过程分别称为三次握手和四次挥手,这两个过程对于理解TCP连接的工作原理至关重要。 首先,我们来详细讲解TCP三次握手过程: 1. **第一次握手**:客户端(Client)发送一个...
Wireshark分析tcp三次握手HTTP请求过程以及四次挥手
u011803341的专栏
11-16 2873
这里介绍一下,使用Wireshark抓包来看,tcp三次握手HTTP请求过程以及四次挥手。上面几个过程具体就不介绍了,大家可以去其他博文查看,这里使用wireshark来分析,主要目的是对以往学习的知识进行一次考验以及加固,顺便可以学习一下wireshark,有些时候遇到http请求失败啊什么的情况下,有可能是tcp层出现的问题,就必须要使用wireshark来进行分析了。大花瓶已经无能为力了。 ...
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
宝藏女孩的成长日记
03-09 1万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
wireshark抓包解析:三次握手四次挥手及三次挥手情况
最新发布
weixin_46166934的博客
05-01 1232
确认序列号:希望下次对方的序列号为我的确认序列号。确认序列号=对方发送的序列号+SYN+数据长度。Seq=3045674562(随机)
Wireshark抓包分析TCP协议:三次握手和四次挥手
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-10 5348
面试中我们经常会被问到TCP协议的三次握手和四次挥手过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下。
TCP 实战抓包分析
一蓑烟雨任平生
08-22 2万+
提纲 正文 显形“不可见”的网络网络世界中的数据包交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学习计算机网络的时候就会觉得非常的抽象,加大了学习的难度。 还别说,我自己在大学的时候,也是如此。 直到工作后,认识了两大分析网络的利器:tcpdump 和 Wireshark,这两大利器把我们“看不见”的数据包,呈现在我们眼前,一目了然。 唉,当初大学学习计网的时候,要是能知道这两个工具,就不会学的一脸懵逼。 tcpdump 和 Wireshark 有什么区别? tc...
TCP三次握手wireshark抓包分析
热门推荐
牛仔的blog
12-19 7万+
本文内容有以下三个部分: wireshark过滤规则 osi模型简述 tcp三次握手 一、wireshark过滤规则wireshark只是一个抓包工具,用其他抓包工具同样能够分析tcp三次握手协议。以下这张图片完整地展现了wireshark的面板。使用好wireshark一个关键是如何从抓到的众多的包中找到我们想要的那一个。这里就要说filter过滤规则了。如上图,在过滤器方框,我们加上了ip.sr
Wireshark抓包分析TCP三次握手,四次挥手”.doc
07-08
Wireshark 抓包分析 TCP三次握手,四次挥手” Wireshark 是一个功能强大的网络抓包...通过 Wireshark 抓包分析 TCP三次握手,四次挥手”过程,我们可以更好地理解 TCP/IP 传输的机理,提高自己的计算机网络知识。
Wireshark基本介绍和学习TCP三次握手
09-01
在学习TCP三次握手过程中,Wireshark提供了直观的方式去观察这一过程TCP连接建立时,客户端首先发送一个SYN(同步序列号)包,服务器回应一个SYN+ACK(确认应答)包,最后客户端再发送一个ACK包以确认连接。通过...
TCP三次握手及四次挥手详细图解.docx
05-24
tcpdump 和 Wireshark 是两种常用的抓包工具,tcpdump 是一个命令行界面的抓包工具,而 Wireshark 是一个图形界面的抓包工具。使用 Wireshark 可以轻松地抓取和分析网络报文。 在局域网安全中,以太网是工作在数据...
Wireshark抓包分析TCP 3次握手、4次挥手过程
weixin_34362790的博客
05-19 650
Wireshark简介 更多有关Wireshark的教程、软件下载等,请见:http://www.52im.net/thread-259-1-1.html,本文只作简要介绍。 1Wireshark 是什么? Wireshark 是最著名的网络通讯抓包分析工具。功能十分强大,可以截取各种网络封包,显示网络封包的详细信息。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好...
Wireshark抓包:详解TCP四次挥手报文内容_四次挥手抓包
2401_84264491的博客
04-15 498
fin,ack包—>ack包---->fin,ack包---->ack包。tcp报文是一个可靠的协议,它的每一个数据包都要进行确认,每发一个数据包都有一个ack包。这个包的ack号等于上一个包的序号(seq=5002)加1,也就是5003。是因为客户端发的fin,ack包希望下一个包的序号是952(确认号是952)所以第一个fin,ack包,ack被标记了,其实也是对上一个报文数据的确认。tcp是一个常规的,每个包都要去确认的这样一个协议。fin,ack和ack包的序号、确认号是一样的。
TCP三次握手四次挥手及HTTP请求、响应Wireshark抓包分析
weixin_41487541的博客
11-24 1632
第一次握手:客服端发送报文,并且设置发送序号为X;第二次握手:服务端发送和报文,并且设置发送序号为Y,确认序号为X+1;第三次握手:客服端发送报文,并且发送序号为X+1,确认序号为Y+1;
WireShark抓包TCP三次握手和四次挥手
子冉冰清的博客
02-23 2659
TCP和UDP TCP报文格式 TCP首部的报文格式如下: 宏观上来看如下: 来源连接端口(16位长)-识别发送连接端口 目的连接端口(16位长)-识别接收连接端口 序列号(seq,32位长): 如果含有同步化旗标(SYN),则此为最初的序列号;第一个数据比特的序列码为本序列号加一。 如果没有同步化旗标(SYN),则此为第一个数据比特的序列码。 确认号(ack,32位长)— 期望收到的数据的开始序列号。也即已经收到的数据的字节长度加1。 数据偏移(4位长)— 以4字节为单位
【数据库测试】tcpdump抓包
test_dog的博客
11-04 3207
tcpdump是一个常用的网络包分析工具,可以通过网络传输到本系统的TCP/IP以及其他网络的数据包。tcpdump使用libpcap库来抓取网络包,可以将网络中传输的数据包的头部完全截获进行分析,它支持针对网络层、协议层、主机、网络或端口的过滤,并提供and、or、not等逻辑语句进行过滤。
使用Wireshark浅析Tcp三次握手
weixin_42931631的博客
12-27 6721
用一些简单的实例,让大家真正了解三次握手
Wireshark抓包:详解TCP三次握手报文内容
清菡的博客
03-28 1万+
一、抓包通过Wireshark这个抓包工具演示下正常能抓到tcp三次握手,能看到的内容是不是和上篇文章tcp三次握手中用图画出来的内容是一样的呢?现在就抓个包详细得讲解下。先选择我上网的网卡,然后点击这个蓝色的小鲨鱼,开始抓包了。现在它在开始抓包,我去访问一个页面。这是个https的连接,肯定是基于tcp的。点击红色按钮暂停。抓的是tcp协议,过滤下tcp协议的包。按下回...
wireshark抓包分析 tcp三次握手/四次挥手详解
07-15
### 回答1: TCP三次握手和四次挥手TCP协议建立和关闭连接时所采用的步骤。 三次握手是在客户端和服务器之间建立TCP连接时的过程。首先,客户端向服务器发送一个请求连接的数据包,该数据包包含一个随机生成的序列号(SYN),表示客户端希望建立连接。服务器接收到该请求后,向客户端回复一个确认连接的数据包,该数据包包含其自己生成的一个随机序列号(SYN-ACK),表示服务器同意建立连接。最后,客户端再次向服务器发送一个确认连接的数据包,该数据包中包含服务器的序列号加一(ACK),表示客户端接受服务器的连接请求。这样,TCP连接就建立起来了。 四次挥手是在客户端和服务器关闭TCP连接时的过程。首先,客户端发送一个关闭连接的请求数据包(FIN),表示客户端想要关闭连接。服务器收到该请求后,向客户端回复一个确认关闭连接的数据包(ACK),但自己的数据可能没有发送完毕。服务器等到自己的数据发送完毕后,发送一个自己的关闭连接请求数据包(FIN),表示服务器也希望关闭连接。客户端收到服务器的请求后,回复一个确认关闭连接的数据包(ACK),然后等待一段时间,确保服务器收到了该数据包。最后,客户端和服务器都关闭连接,四次挥手过程完成。 通过Wireshark抓包分析TCP三次握手和四次挥手可以观察到每个数据包的源地址、目标地址、序列号、确认号等信息。可以通过Wireshark的过滤功能筛选出TCP协议相关的数据包进行分析。通过分析数据包的交互过程,可以确认连接建立和关闭的状态是否符合预期,并可以进一步分析网络延迟、丢包等问题。 综上所述,Wireshark抓包分析TCP三次握手和四次挥手可以帮助我们深入理解TCP连接的建立和关闭过程,以及发现网络故障的根源。 ### 回答2: TCP是一种常用的传输层协议,它通过进行三次握手来建立连接,并进行四次挥手来终止连接。 三次握手过程如下: 1. 客户端发送一个SYN标志位的TCP报文段给服务器,表示请求建立连接; 2. 服务器收到请求后,回复一个带有SYN和ACK标志位的TCP报文段给客户端,表示同意建立连接; 3. 客户端收到服务器的回复后,再次发送一个带有ACK标志位的TCP报文段给服务器,表示连接建立成功。 四次挥手的过程如下: 1. 客户端发送一个FIN标志位的TCP报文段给服务器,表示希望断开连接; 2. 服务器收到请求后,回复一个带有ACK标志位的TCP报文段给客户端,表示确认收到断开请求; 3. 服务器完成数据的发送后,发送一个带有FIN标志位的TCP报文段给客户端,表示自己也要断开连接; 4. 客户端收到服务器的断开请求后,发送一个带有ACK标志位的TCP报文段给服务器,表示确认断开,并进入TIME_WAIT状态。 在三次握手过程中,第一次握手是客户端发起的,第二次握手是服务器回复同意建立连接,第三次握手是客户端回复确认连接。这个过程是为了确保双方都同意建立连接,以保证数据传输的可靠性。 在四次挥手的过程中,首先客户端发送断开请求,服务器回复确认,然后服务器发送断开请求,客户端回复确认。这个过程是为了保证双方都断开连接,并确保数据完整性。 Wireshark是一款网络抓包分析工具。使用Wireshark可以捕获网络数据包,并对数据包进行解析和分析。通过Wireshark,我们可以看到每个TCP报文段的具体内容,并对三次握手和四次挥手过程进行详细分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tilblackout

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值