使用wireshark分析TCP的连接和关闭

最新推荐文章于 2024-05-16 03:09:53 发布
最新推荐文章于 2024-05-16 03:09:53 发布
阅读量4.4k 收藏 39
点赞数 6
分类专栏: 工具 文章标签: https tcp tcp连接建立 tcp释放连接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42119041/article/details/107300700
版权

我们都知道 TCP 的连接和关闭过程,简称为三次握手和四次挥手。
这次我们使用 wireshark 这个抓包工具从报文段( 分组 )的角度进一步了解其报文传输过程,对所谓的三次握手和四次挥手有一个感性的认识。

1.简述三次握手过程

开局一张图

1). 主动开启者(通常称为客户端)发送一个 SYN 报文段(即一个在 TCP 头部的SYN位字段置位的 TCP/IP 数据包),并指明自己想要连接的端口号和它的客户端初始序列号(记为IsN(c))。通常,客户端还会借此发送一个或多个选项。客户端发送的这个 SYN 报文段称作段1;

2).服务器也发送自已的 SYN 报文段作为响应,并包含了它的初始序列号(记作 ISN(s))。该段称作段2。此外,为了确认客户端的 SYN,服务器将其包含的 ISN(C) 数值加1后作为返回的 ACK 数值。因此,每发送一个 SYN,序列号就会自动加1。这样如果出现丢失的情况,该 SYN 段将会重传;

3).为了确认服务器的 SYN,客户端将 ISN(S) 的数值加1后作为返回的 ACK 数值。这称作段3。

2.使用 wireshark 进行抓包

我们尝试登录 Web 服务器进行 TCP 连接,并且立刻退出:

# telnet 123.57.134.153 80
...
...
# quit

wireshark 抓包的结果如下所示:

我们可以看到三次握手的过程中即为三次报文发送过程:[SYN][SYN ACK][ACK]

我们来看客户端向服务器发送的 SYN 请求报文段内容:

[SYN] 报文段的初始序列号 Seq 为 0, 但是下方的详细报文内容中可以看到 Sequence number: 0 (relative sequence number) 这个字段描述,这说明该序列号 IsN(c) 只是相对序列号,因为没有任何报文段发出,所以是0。还可以看到 Sequence number (raw): 852679803 的字段,这说明初始序列号是 852679803,本质上并不是 0。(其实这个初始序列号是采用半随机的方法产生的,具体的产生方法本人也不是很清楚,需要查看 RFC 白皮书)

然后是服务器发来的 [SYN ACK] 报文段:

该报文段是服务器发送自己的连接请求 SYN, 并且对客户端发来的 [SYN] 报文段进行确认,即确认字段置位,并且确认号为 IsN(c) + 1,即相对的确认号为 1,但是绝对的确认号就是上面的 852679803 加1。也就是在详细报文内容中的两个字段:Acknowledgment number: 1 (relative ack number)Acknowledgment number (raw): 852679804。并且服务端有自己的初始序列号INC(S), 相对序列号为 0, 绝对序列号为 852679804

三次握手的最后一个报文段是客户端对服务端发来的 [SYN+ACK] 进行的确认报文段 [ACK]:

其中最重要的字段就是确认号,其值服务器发来的 [SYN ACK] 的报文段的序列号加一,也就是详细报文内容中的: Acknowledgment number: 1 (relative ack number)Acknowledgment number (raw): 1797564312

这样,经过三次报文交换,连接就建立了。

3.简述四次挥手过程

还是这张示意图:

开局一张图

1.连接的主动关闭者发送一个 FIN 段指明接收者希望看到的自已当前的序列号 SeqFIN 段还包含了一个 ACK 段用于确认对方最近一次发来的数据。

2.连接的被动关闭者将 Seq 的数值加1作为响应的 ACK 值,以表明它已经成功接收到
主动关闭者发送的 FIN。此时,上层的应用程序会被告知连接的另一端已经提出了关闭的请求。通常,这将导致应用程序发起自已的关闭操作。接着,被动关闭者将身份转变为主动关
闭者,并发送自已的 FIN

3.为了完成连接的关闭,最后发送的报文段还包含一个 ACk 用于确认上一个 FIN。值
得注意的是,如果出现 FIN 丢失的情况,那么发送方将重新传输直到接收到一个 ACK 确认为止。

4.使用 wireshark 进行抓包分析四次挥手

1.首先主动关闭者(这里的例子是服务器主动关闭)会发送一个 [FIN ACK] 报文:

在这里插入图片描述
其中 FIN 字段用于表示请求释放连接,还包含对上次的报文的确认号 ACK

2.被动关闭者(客户端)对主动关闭者发来的 [FIN] 报文段进行确认,确认号是主动关闭者的Seq 的数值加1:
在这里插入图片描述

3.被动关闭者(客户端)发起自己的关闭操作,接着,被动关闭者(客户端)将身份转变为主动关闭者,并发送自已的 [FIN]
在这里插入图片描述
4.最后,主动关闭者还要对被动关闭者(客户端)发来的自己的 [FIN] 进行确认,确认号为上个报文段的序列号 Seq 加1:
在这里插入图片描述

综上所述,建立一个TCP连接需要3个报文段,而关闭一个TCP连接需要4个报文段。并且我们使用 wireshark 对每个报文段进行了分析,希望大家对这个看不见的报文交换已经有一个感性的认识了。

每天进步一点点!
2020/7/12   成都
CoderCXF
关注
  • 6
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
TCP建立连接与断开连接的过程
To_my_net_word的博客
09-25 561
在CS模式的TCP连接建立过程中,客户端与服务器端流程如下: 客户端流程:发送请求->接收服务器端确认->发送对服务器端确认的确认。 服务器端流程:接收客户端的连接建立请求->发送确认->接收客户端发送的对确认的确认。 1、刚开始客户端和服务端都处于CLOSED状态,服务端开始监听某个端口,进入LISTEN状态。 2、客户端发送连接请求报文,其中包含SYN=1,...
WiresharkTCP连接建立关闭
tian830937的专栏
01-08 1144
wireshark 分析TCP 建立链接越断开链接
使用Wireshark抓包分析TCP协议_wireshark分析tcp协议
最新发布
2401_85015040的博客
05-16 1110
服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求),并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1:客户端给服务端返回一个ACK(对服务端连接请求的应答),并更新自己的序列号seq=1,返回一个确认号ack=1。
基于WiresharkTCP关闭时的四次挥手介绍
hou09tian的博客
08-25 1090
在《基于Wirshark的TCP三次握手介绍》中提到,TCP建立连接之前,要经历三次握手,而在关闭TCP连接时,通信双方要经历四次挥手,如图1所示。 图1 关闭TCP时的四次挥手 1 第一次挥手 客户端和服务端进行TCP通信时,一般是客户端主动断开TCP连接。因此,第一次挥手一般是客户端向服务端发送FIN+ACK数据包,实际上就是客户端通知服务端,自己(客户端)要关闭本端的TCP连接了。图2是通过Wireshark捕获到的第一次挥手时的数据。 图2 第一次挥手 从图2中可以看到,..
Wireshark工作笔记-TCP的状态解析,以及建立连接关闭连接
IT1995的博客
05-17 6284
TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.其中,对于我们日常的分析有用的就是前面的五个字段。 它们的含义是:SYN表示建立连接,FIN表示关闭连接,ACK表示响应,PSH表示有 DATA数据传输,RST表示连接重置。 其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应...
查看tcp连接
weixin_42319892的博客
01-08 167
netstat -n|awk '/^tcp/{++S[$NF]}END{for (key in S) print key,S[key]}'
TCP三次握手
wangzhaotongalex的专栏
04-01 811
 TCP是一个面向连接的服务,面向连接的服务是电话系统服务模式的抽象,每一次完整的数据传输都必须经过建立连接,数据传输和终止连接三个过程,TCP建立连接的过程称为三次握手,下面说一下三次握手的具体过程: TCP三次握手过程 主机A通过向主机B 发送一个含有同步序列号的标志位的数据段给主机B ,向主机B 请求建立连接,通过这个数据段,主机A告诉主机B 两件事:我想要和你通信;你
Wireshark分析TCP连接断开过程分析与总结.docx
05-24
Wireshark 是一个功能强大的网络协议分析工具,能够对 TCP 连接断开过程进行详细的分析和总结。下面我们将对 Wireshark 分析 TCP 连接断开过程进行详细的分析和总结。 一、四次握手过程分析TCP 连接断开过程中...
使用Wireshark分析TCP协议书范本.doc
09-24
**二、TCP连接关闭:四次挥手** TCP连接关闭通常涉及四次挥手。在tcp_pcattcp_n1.cap文件的分组13至16中,可以看到这一过程。双方会交替发送FIN(结束)报文并确认对方的FIN,直至所有待传输数据确认完毕,连接才...
Wireshark抓包分析TCP“三次握手,四次挥手”.doc
07-08
在本文中,我们将通过 Wireshark 来抓包和分析 TCP“三次握手,四次挥手”过程。 是什么是抓包? 网络传输信息是通过层层打包,最终到达客户端物理层,经过网线等设备传输到服务器端后,再进行层层拆包,最后获取...
作业四:用 Wireshark 分析 TCP segment1
08-08
作业四:通过HTTP访问某个网页,使用Wireshark对整个过程中的数据段进行捕获,分析TCP连接建立、数据传输、连接关闭的全过程,至少对其中5个典型的TCP
利用Wireshark进行TCP协议分析报告.doc
09-21
Wireshark 是一个功能强大的网络协议分析工具,可以用来捕获和分析 TCP 协议的报文。TCP(Transmission Control Protocol)是一种传输层协议,用于在网络中传输数据。下面将详细介绍 TCP 协议的报文结构和三次握手、...
TCP断开连接的过程及状态变迁
nswdiphone6的博客
04-14 2180
TCP断开连接 TCP的四次挥手 TCP 断开连接是通过四次挥手方式。 双方都可以主动断开连接,断开连接后主机中的「资源」将被释放。 第一次挥手(FIN=1,seq=x): 假设客户端想要关闭连接,客户端发送一个FIN标志位置为1的包,表示自己已经没有数据可以发送了,但是仍然可以接收数据。发送完毕之后,客户端进入FIN_WAIT_1状态。 第二次挥手(ACK=1,ACKnum=x+1): 服务器端确认客户端的FIN包,发送一个确认包,表明自己接收到了客户端关闭连接的请求,但还没有准备好关闭连接。发
TCP建立断开连接过程
yuuuuy的专栏
11-12 1729
TCP/IP建立与断开连接详细过程 TCP协议连接建立时3次握手的过程。 简述TCP协议连接建立时3次握手的过程。 根据TCP头部,说明下列3个包在连接建立过程中的次序. 0020        00 50 83 aa 46 49 3e dd 33 96 37 a3 a0 12  ...P..FI>.3.7... 0030   16 a0 c4 c0 00 00 02 0
TCP3次握手4次挥手】Wireshark抓包分析TCP建立和断开连接的过程
weixin_30596165的博客
05-29 1890
使用wireshark抓网口的包,然后查找特定的tcp流,wireshark命令和使用不做解释。 #tcp.stream eq 23 一.网络模型简介 常见的网络模型是大家熟知的OSI7层网络模型和TCP/IP4层网络模型,简单介绍如下。   >OSI 7层网络模型   >TCP/IP 4层模型   >5层模型 从前面的4层模型可以看到,最...
【网络】TCP建立、断开连接的过程
鲜衣怒马楼兰月
07-19 319
一、TCP报文简介 TCP报文格式有几个字段需要重点介绍下: (1)序号:Seq序号,占32位,用来标识从TCP源端向目的端发送的字节流,发起方发送数据时对此进行标记。 (2)确认序号:Ack序号,占32位,只有ACK标志位为1时,确认序号字段才有效,Ack=Seq+1。 (3)标志位:共6个,即URG、ACK、PSH、RST、SYN、FIN等,具体含义如下: (A)URG:紧急...
TCP协议建立连接(3次握手)和断开连接(4次挥手)的过程
Rampant_Lee的博客
04-23 4004
TCP协议(传输控制协议, Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RF793定义。面向连接意味着两个使用TCP的应用(通常是一个客户端和一个服务器)在彼此交换数据之前必须先建立一个TCP连接。这一过程与打电话很相似,先拨号振铃,等待对方摘机说“喂”,然后才说明是谁。双方的数据传输都可以通过这一个连接进行。完成数...
TCP建立连接和断开连接过程的理解
youwotianya的专栏
07-05 1284
转载出处: https://blog.csdn.net/skyroben/article/details/74973158TCP建立连接和断开连接过程如下所示:
Wireshark抓包分析TCP连接、发送数据与断开过程
lgc1990的博客
03-12 8396
准备工具: 1. 两台连接到同个局域网的电脑,或者虚拟机; 2. 在其中一台电脑安装Wireshark; 3. 在两台电脑上面都有TCP&UDP测试工具软件 TCP连接建立过程(三次握手): 抓包分析TCP连接过程: 1.两台主机都分别打开TCP&UDP测试工具 这里设置主机A的IP地址为10.1.13.2, 主机B为10.1.13.3。 主机A作为客户...
使用 Wireshark 分析 TCP 协议
12-21
Wireshark是一个开源的网络封包分析软件,可以用于分析和监控网络流量。下面是使用Wireshark分析TCP协议的步骤: 1. 打开Wireshark软件,并选择要进行抓包的网络接口。 2. 在过滤器中输入"tcp",以便只捕获TCP协议的数据包。 3. 点击开始捕获按钮,Wireshark将开始捕获网络流量。 4. 进行一些TCP通信操作,例如访问网页或发送电子邮件。 5. 停止捕获,Wireshark将显示捕获到的数据包列表。 6. 选择一个TCP数据包,并查看其详细信息,包括源IP地址、目标IP地址、源端口、目标端口、序列号、确认号等。 7. 可以进一步分析TCP数据包的内容,例如查看TCP头部信息、载荷数据等。 8. 根据捕获到的数据包,可以分析TCP连接建立过程、数据传输过程以及连接关闭过程。 使用Wireshark分析TCP协议可以帮助我们深入了解TCP连接建立、数据传输和连接关闭过程,以及检测和解决网络通信中的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值