使用Wireshark浅析Tcp三次握手

最新推荐文章于 2024-05-01 22:49:03 发布
最新推荐文章于 2024-05-01 22:49:03 发布
阅读量6.6k 收藏 82
点赞数 10
文章标签: tcp/ip wireshark 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42931631/article/details/122165715
版权

简述

我不想一开始直接搬网络描述图来讲三次握手亦或试图用大量专业词汇让你熟悉它,而是想用简单的描述,让大家对三次握手有个大概的印象。用Wireshark抓包工具分析TCP报文中大家比较关注的syn(Synchronize Sequence Numbers 同步序列号)和ack(ACKnowledge Character 确认字符)。

如果你不能简单的解释它,说明你还没有足够理解它

–爱因斯坦

1 什么是TCP三次握手

字面意思就是三次交互,也是三次 「TCP数据包」 的传输。交互的目的是建立连接,让通信双方确认 「对方」 能够接收到自己发送的消息

下图简单描述了三次握手的过程:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XClx9C0G-1640571969989)(https://tuchuang-oss.oss-cn-hangzhou.aliyuncs.com/img/202112231931554.svg)]

有同学问我为什么要回复x+1,这就是协议的魅力所在了。协议本质上就是一种约定,设计tcp的那群大佬们完全可以设计为x+2,这不应该是我们纠结的点

2 为什么要三次握手

tcp是传输层协议,握手的目的是 建立连接 。事实上四次,甚至更多次的握手更能保证通信的建立,但无疑也会增加网络开销。 「三次」 是一个能够保证双方建立连接的最小通讯数。

3 TCP报文构成

下图为Tcp的报文构成,因本文主要讲述三次握手,侧重点也主要放在序列号和确认应答号上,对TCP的报文感兴趣的可以看看思否的这篇文章。下面结合Wireshark,对应这张图浅析一下三次握手。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qaiky8F7-1640571969991)(https://tuchuang-oss.oss-cn-hangzhou.aliyuncs.com/img/202112260036500.svg)]

三次握手也就是三次TCP的报文传输,这里可以注意到序列号和确认应答号都是32位。所以这也解释了ACK和SYN的取值范围是 0 - 2^32 -1 即4,294,967,295。

4 使用Wireshark浅析三次握手中的报文

简单介绍一下wireshark,它是一款优秀的抓包工具。可以抓取经过我们电脑网卡上的网络信息,当然也包括我们今天要抓取的TCP数据包。

以打开百度为例,首先需要确认百度的ip,可以通过ping命令获取:

shishuai@iMac ~ % ping www.baidu.com
PING www.a.shifen.com (180.101.49.12): 56 data bytes
64 bytes from 180.101.49.12: icmp_seq=0 ttl=52 time=11.738 ms
64 bytes from 180.101.49.12: icmp_seq=1 ttl=52 time=12.248 ms
64 bytes from 180.101.49.12: icmp_seq=2 ttl=52 time=11.474 ms

注意这里使用www.baidu.com而不是baidu.com。记录下反馈的ip地址:180.101.49.12。这个ip因人而异,每个地区会有所不同。

打开wireshark界面:

【ps:建议打开前先退出浏览器。】

wireshark界面

左侧对应你的电脑网卡,如果你不知道选择哪个,可以注意右侧的折线图,有波动的就是你在使用的网卡。

因为我们的电脑的网络流量是实时在变的,所以需要在这里过滤出来自www.baidu.com 的流量信息。

wireshark界面

对应的过滤规则为:

ip.addr == 180.101.49.12 && tcp

注意这里的ip为上一步通过ping命令获取的ip。

wireshark过滤规则

输入后,回车。可以看到下面还是空的流量信息。现在再打开百度首页,关注这里的流量信息,可以发现三次握手的流量包信息已经显示在下方了:

wireshark中的tcp传输

我们双击第一条报文,查看详情:

TCP报文的第一次握手

wireshark中显示报文格式为16(2^4)进制,即每个字符对应4位,一共8个字符一共占用4 * 8 = 32位。和可以看TCP报文中syn序列号长度是一致的。16进制下的:e2026015即对应十进制的:3791806485

16进制转10进制

当然我们也可以查看原始的2进制数据包,32位的长度也会更加直接。只需要在下方空白处右击,选择:‘… as bits 即可。

TCP数据包的2进制形式

接下来我们点击第二次数据包,即第二次握手,也是百度服务器对我们的回复包:

TCP的第二次握手

可以看到百度回执ack确实为我们第一次握手中的syn+1(3791806485 + 1)。另外自身生成的seq序列为:1559326373,也对应文章一开始放的小红和小蓝的对话图中的第七步:

wireshark和示意图的对应关系

这里ack即对应响应ACK(y)值,seq对应服务器返回的x值。

接下来看第三次响应,也是客服端对百度的回执包信息:

tcp的最后一次握手

可以看到最后的一次握手中,ack值为第二次握手回执的syn值+1。seq序列为二次握手中服务器回执的ack确认序列号。至此三次握手完成,连接建立完毕,可以开始进行数据的传输。

5 总结

分析数据包虽然是个比较耗时的事情但确实可以加深我们的印象,也可以让抽象的描述具体化。

另外多说一句,虽然分析的过程比较久但tcp的建立时间是非常快的,我们在打开一个网站的瞬间就建立好了。四次挥手同理,有兴趣的话你可以试试用wireshark抓取4次挥手的数据包看看,希望大家共同进步。
下面是我的个人公众号,欢迎关注,无限进步。
罐子里的茶微信公众号

罐子里的茶
关注
  • 10
    点赞
  • 82
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Wireshark基本介绍和学习TCP三次握手
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2242841
Wireshark入门 tcp三次握手
12-12
Wireshark入门 tcp三次握手
wireshark抓包解析:三次握手四次挥手及三次挥手情况
最新发布
weixin_46166934的博客
05-01 803
确认序列号:希望下次对方的序列号为我的确认序列号。确认序列号=对方发送的序列号+SYN+数据长度。Seq=3045674562(随机)
WireShark简述TCP三次握手
FaceFullofConfused的博客
07-23 228
打开wireshark对某个ip查看tcp握手的过程命令过滤tcp标志位syn值为1 和 tcp seq序列号值为1跟踪发现432518 432519 432520为TCP对目标ip进行三次握手的信息。
wireshark分析tcp协议(一)三次握手【理论 + 实操】
qq_22841387的博客
09-21 4010
知识背景 **问题一:什么是tcp?** **问题二:什么是传输控制协议?** **问题三:为什么tcp是面向连接的,是可靠的?** 三次握手操作步骤 1.确认当前活动的网络 2.确认你所需要分析的网站地址 3.过滤显示当前连接情况 4.访问网站,进行分析 5.第一次握手——请求连接(syn) SYN_SENT 6.第二次握手——服务器响应请求(syn,ack)SYN_RCVD 7.第三次握手——服务器确认请求(ack)ESTABLISHED 8.验证数据传输——http报文
Wireshark抓包分析TCP协议:三次握手和四次挥手
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-10 5304
面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下。
Wireshark图解三次握手
因上努力,果上随缘。但行好事,莫问前程。
08-08 851
TCP是一种可靠的全双工传输方式,三次握手保证了客户端和服务端的序列号都能保证确认。
TCP三次握手、四次挥手详解(Wireshark实践)
Hardworking666的博客
09-10 7916
TCP协议规定,只有ACK=1时有效,也规定连接建立后所有发送的报文的ACK必须为1。当SYN=1而ACK=0时,表明这是一个连接请求报文。2、然后Server 进行回复确认,即 SYN=1 ,声明自己的序号是 seq=y, 并设置为ack=x+1,服务器端:SYN-RECEIVED:在收到和发送一个连接请求后等待对方对连接请求的确认。当 FIN = 1 时,表明此报文段的发送方的数据已经发送完毕,并要求释放连接。客户端:SYN-SENT:在发送连接请求后等待匹配的连接请求。) 在连接建立时用来同步序号。
使用WireShark查看TCP的三次握手
大河之犬的博客
03-01 2660
待加载完成后,停止抓包,进行流量分析。
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
结合wireshark分析TCP和三次握手原理.docx
04-08
Wireshark 分析 TCP 三次握手原理 Wireshark 是一个功能强大且广泛使用的网络封包分析软件,能够捕获网络封包,并尽可能地显示出最为详细的网络封包信息。Wireshark 广泛应用于网络管理员、网络安全工程师、开发者...
wireshark tcp三次握手
08-03
ubuntu下自己写tcp协议(server.c,client.c,Makefile),通过tcpdump生成 .cap文件后,利用wireshark分析tcp三次握手的整个过程
Wireshark抓包分析TCP三次握手
qq_42670672的博客
11-21 366
第二次握手:服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求),并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1。第三次握手:客户端给服务端返回一个ACK(对服务端连接请求的应答),并更新自己的序列号seq=1,返回一个确认号ack=1。服务端返回SYN+ACK,并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1。客户端返回一个ACK,并且返回一个确认号ack=1,并且将自己的序列号seq更新为1。这是我发起连接请求后抓到的数据包。
WireShark抓包分析TCP三次握手
LW的技术小筑
11-16 1468
使用Wireshark抓包分析TCP协议:三次握手和四次挥手
m0_65890285的博客
04-18 1142
为了更好的学习和理解TCP协议的连接和断开连接的过程,我们来引入一个非常适合用来学习网络协议的抓包工具Wireshark。这个抓包工具可以详细看到每一层网络报文的详细信息。
wireshark三次握手
09-16
三次握手TCP建立连接的过程。在Wireshark中,可以通过抓包工具来分析TCP报文中的syn(同步序列号)和ack(确认字符)来观察三次握手的过程。具体步骤如下: 1. 客户端向服务器发送一个带有SYN标志的TCP报文段,用于请求建立连接。这个报文段中的seq序列号是一个随机生成的初始序列号。 2. 服务器收到客户端的请求后,向客户端发送一个带有SYN和ACK标志的TCP报文段,作为对请求的确认,并且在报文段中的ack确认号字段中包含了客户端发送的seq序列号加1。 3. 客户端收到服务器的确认后,再向服务器发送一个带有ACK标志的TCP报文段,表示已经收到服务器的确认。在这个报文段中的ack确认号字段中包含了服务器发送的seq序列号加1。 至此,三次握手完成,TCP连接建立成功,之后可以进行数据的传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值