弄它!!使用Wireshark抓包软件抓取两台PC通信与断开的数据包,观察TCP的三次握手,四次挥手

最新推荐文章于 2024-03-26 11:41:35 发布
最新推荐文章于 2024-03-26 11:41:35 发布
阅读量2.8k 收藏 19
点赞数 4
分类专栏: 网络通信 文章标签: wireshark linux tcpdump nmap tcpip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47219935/article/details/106091940
版权

文章目录

一、传输层tcp介绍

TCP 提供面向有连接的通信传输,面向有连接是指在传送数据之前必须先建立连接,数据传送完成后要释放连接。

无论哪一方向另一方发送数据之前,都必须先在双方之间建立一条连接。在TCP/IP协议中,TCP协议提供可靠的连接服务,连接是通过三次握手进行初始化的。
同时由于TCP协议是一种面向连接的、可靠的、基于字节流的运输层通信协议,TCP是全双工模式,所以需要四次挥手关闭连接

二、tcp与udp的区别

TCP 与 UDP 的区别相当大。它充分地实现了数据传输时各种控制功能,可以进行丢包时的重发控制,还可以对次序乱掉的分包进行顺序控制。而这些在 UDP 中都没有。
此外,TCP 作为一种面向有连接的协议,只有在确认通信对端存在时才会发送数据,从而可以控制通信流量的浪费。
根据 TCP 的这些机制,在 IP 这种无连接的网络上也能够实现高可靠性的通信( 主要通过检验和、序列号、确认应答、重发控制、连接管理以及窗口控制等机制实现)

三、TCP头部

TCP的规范定义,它定义了TCP协议如何读取和解析数据
在这里插入图片描述
TCP首部承载这TCP协议需要的各项信息,下面我们来分析一下:

1、TCP端口号

TCP的连接是需要四个要素确定唯一一个连接:
(源IP,源端口号)+ (目地IP,目的端口号)
所以TCP首部预留了两个16位作为端口号的存储,而IP地址由上一层IP协议负责传递
源端口号和目地端口各占16位两个字节,也就是端口的范围是2^16=65535
另外1024以下是系统保留的,从1024-65535是用户使用的端口范围

2、TCP的序号和确认号:

32位序号 seq:Sequence number 缩写seq ,TCP通信过程中某一个传输方向上的字节流的每个字节的序号,通过这个来确认发送的数据有序,比如现在序列号为1000,发送了1000,下一个序列号就是2000。
32位确认号 ack:Acknowledge number 缩写ack,TCP对上一次seq序号做出的确认号,用来响应TCP报文段,给收到的TCP报文段的序号seq加1。

3、TCP的标志位

每个TCP段都有一个目的,这是借助于TCP标志位选项来确定的,允许发送方或接收方指定哪些标志应该被使用,以便段被另一端正确处理。
用的最广泛的标志是 SYN,ACK 和 FIN,用于建立连接,确认成功的段传输,最后终止连接。

SYN:简写为S,同步标志位,用于建立会话连接,同步序列号;
ACK: 简写为.,确认标志位,对已接收的数据包进行确认;
FIN: 简写为F,完成标志位,表示我已经没有数据要发送了,即将关闭连接;
PSH:简写为P,推送标志位,表示该数据包被对方接收后应立即交给上层应用,而不在缓冲区排队;
RST:简写为R,重置标志位,用于连接复位、拒绝错误和非法的数据包;
URG:简写为U,紧急标志位,表示数据包的紧急指针域有效,用来保证连接不被阻断,并督促中间设备尽快处理;

四、TCP的三次握手

流程图如下
在这里插入图片描述

第一次握手:客户端将标志位SYN置为1,随机产生一个值seq=J,并将该数据包发送给服务器端,客户端进入SYN_SENT状态,等待服务器端确认。
第二次握手:服务器端收到数据包后由标志位SYN=1知道客户端请求建立连接,服务器端将标志位SYN和ACK都置为1,ack=J+1,随机产生一个值seq=K,并将该数据包发送给客户端以确认连接请求,服务器端进入SYN_RCVD状态。
第三次握手:客户端收到确认后,检查ack是否为J+1,ACK是否为1,如果正确则将标志位ACK置为1,ack=K+1,并将该数据包发送给服务器端,服务器端检查ack是否为K+1,ACK是否为1,如果正确则连接建立成功,客户端和服务器端进入ESTABLISHED状态,完成三次握手,随后客户端与服务器端之间可以开始传输数据了。

五、TCP的四次挥手

四次挥手

中断连接端可以是客户端,也可以是服务器端。
**第一次挥手:**客户端发送一个FIN=M,用来关闭客户端到服务器端的数据传送,客户端进入FIN_WAIT_1状态。意思是说"我客户端没有数据要发给你了",但是如果你服务器端还有数据没有发送完成,则不必急着关闭连接,可以继续发送数据。

第二次挥手:服务器端收到FIN后,先发送ack=M+1,告诉客户端,你的请求我收到了,但是我还没准备好,请继续你等我的消息。这个时候客户端就进入FIN_WAIT_2 状态,继续等待服务器端的FIN报文。

第三次挥手:当服务器端确定数据已发送完成,则向客户端发送FIN=N报文,告诉客户端,好了,我这边数据发完了,准备好关闭连接了。服务器端进入LAST_ACK状态。

第四次挥手:客户端收到FIN=N报文后,就知道可以关闭连接了,但是他还是不相信网络,怕服务器端不知道要关闭,所以发送ack=N+1后进入TIME_WAIT状态,如果Server端没有收到ACK则可以重传。服务器端收到ACK后,就知道可以断开连接了。客户端等待了2MSL后依然没有收到回复,则证明服务器端已正常关闭,那好,我客户端也可以关闭连接了。最终完成了四次握手。

在这里插入图片描述

六、实验抓包进行查看其过程

1、实验环境

通过seCure-CRT软件远程连接虚拟机linux主机(绑定VM1网卡);用wireshark抓包软件进行抓包并查看主机与虚拟机TCP的三次握手和四次挥手

2、需求描述

将上述过程通过实验再现出来。
查看数据包的三次握手和四次挥手

3、推荐步骤

1、VM15.5在虚拟机下安装一台centos7.6系统,使用vm1网卡,手动配置网络,并能ping通主机(尽量不要用VM8,数据包太多,不容易观察)
2、准备远程终端软件secure-CRT软件,手动连接虚拟机
3、打开wireshark抓取刚开始连接的数据包,查看其数据包里的三次握手
4、断开连接抓取数据包查看数据包里的四次挥手
这就是整个三次握手和四次挥手的示意图,观察其中参数的改变,从而了解三次握手四次挥手的具体情况
在这里插入图片描述

4、具体如下:

TCP的三次握手

这里发表一下我个人的总结,一般来说三次握手都在最上面,而且是SYN开头的
在这里插入图片描述

TCP的第一次握手

1、打开第一次握手的数据包,打开传输层数据包,观察SYN同步序号位,就是一堆0的那个,ACK是确认序号位,观察:
源ip 192.168.10.1
目标ip 192.168.50.1
源端口号:55426 目标端口号:22
Syn=1 ack=0
在这里插入图片描述

TCP的第二次握手

2、依次打开第二次握手,观察其变化

源ip 192.168.50.1
目标ip 192.168.10.1
源端口号:22 目标端口号:55426
Syn=1 ack=1
在这里插入图片描述

TCP的第三次握手

3、源ip 192.168.10.1
目标ip 192.168.50.1
源端口号:55426 目标端口号:22
Syn=0 ack=1在这里插入图片描述

TCP的第一次挥手

二、下面开始抓取4次挥手的数据包 ,观察其中的参数变化,这里挥手的参数与握手的有所不同
一般挥都是在最下面,FIN开头的就是第一次挥手
具体如下:

1、第一次挥手确认号FIN=1
源ip 192.168.50.1
目标ip 192.168.10.1
源端口号:55426 目标端口号:22
fin=1 ack=1在这里插入图片描述

TCP的第二次挥手

2、以此类推,观察四次挥手各个参数的变化
源ip 192.168.10.1
目标ip 192.168.50.1
源端口号:22 目标端口号:55426
fin=0 ack=1

在这里插入图片描述

TCP的第三次挥手

3.源ip 192.168.10.1
目标ip 192.168.50.1
源端口号:22 目标端口号:55426
fin=1 ack=1在这里插入图片描述

TCP的第四次挥手

4、源ip 192.168.50.1
目标ip 192.168.10.1
源端口号:55426 目标端口号:22
fin=0 ack=1在这里插入图片描述

不吃小白菜
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过wireshark工具抓包分析微服务中间件之间的通信报文
JACKhao的专栏
06-08 941
一:抓包工具介绍 wireshark是比较流行的网络封包分析软件,可以截取各种网络封包,显示网络封包的详细信息。 启动wireshark后会提示你选择需要监听的网卡,因为今天需要嗅探的springCloud工程部署在本地,这里我选择本地网卡Npcap Loopback Adapter。 WireShark 主要分为这几个界面 Display Filter(显示过滤器), 用于过滤 Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表 Pack
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
Wireshark抓包分析TCP连接、发送数据断开过程
lgc1990的博客
03-12 8592
准备工具: 1. 两台连接到同个局域网的电脑,或者虚拟机; 2. 在其中一台电脑安装Wireshark; 3. 在两台电脑上面都有TCP&UDP测试工具软件 TCP连接建立过程(三次握手): 抓包分析TCP连接过程: 1.两台主机都分别打开TCP&UDP测试工具 这里设置主机A的IP地址为10.1.13.2, 主机B为10.1.13.3。 主机A作为客户...
两台电脑上运行 “疯狂聊天室”程序,通过wireshark抓包
qq_57160761的博客
12-30 283
两台电脑上运行“疯狂聊天室”程序,通过wireshark抓包
wireshark抓取两个ip之间的数据
那年花下月如雪
12-23 8202
启动wireshark配置过滤数据 获取指定ip数据
使用WireShark查看TCP连接和断开过程
yuanjize1996的博客
10-24 9760
TCP连接三次握手过程 机器A向机器B发送建立连接请求的过程: A向B发送: SYN=1 Seq=随机生成的数字i。A进入SYN_SENT状态。 B收到A发送的消息:从SYN=1知道A想要和B发送请求。于是B向A发送:SYN=1,ACK number= i+1 ,ACK=1,seq=随机生成的数字j。B进入SYN_RECV状态。 A收到B发送的应答消息,发现SYN=1 ACK=1,则A向B发送A...
课目总结 关于两台PC抓包 与 交换机mac地址表
mz610的博客
09-14 647
课目总结 关于两台PC抓包 与 交换机mac地址表
Wireshark抓包分析TCP三次握手四次挥手”.doc
07-08
Wireshark 抓包分析 TCP三次握手四次挥手Wireshark 是一个功能强大的网络抓包工具,通过它我们可以抓包并分析 TCP/IP 传输过程。在本文中,我们将通过 Wireshark抓包和分析 TCP三次握手四次挥手”...
TCP通信三次握手四次挥手详解.docx
01-16
通过网络调试助手和WireShark等工具,可以直观地观察TCP三次握手四次挥手的详细报文交互,验证理论知识的实际应用。在实际网络环境中,通过这样的方式分析网络通信过程,有助于理解和排查可能出现的问题。
wireshark抓包分析tcp三次握手四次挥手
06-25
TCP/IP通信中,TCP连接的建立和关闭过程分别称为三次握手四次挥手,这两个过程对于理解TCP连接的工作原理至关重要。 首先,我们来详细讲解TCP三次握手过程: 1. **第一次握手**:客户端(Client)发送一个...
Wireshark协议分析tcp之三次挥手和四次挥手数据包.zip
03-13
在IT行业中,理解TCP(传输控制协议)的三次握手四次挥手是至关重要的,因为它们是TCP连接建立与关闭的关键过程。本篇文章将深入探讨这两个概念,并结合Wireshark数据包的解析来详细阐述。 首先,我们来看TCP的...
一文读懂计算机网络--两台pc机之间的交互过程
我叫鱿鱼须的博客
03-23 2779
写在前头: 我时常在思考,两台pc机之间是怎么交互的,整个网络到底都做了什么,看了很多的网上资料,感觉讲的也可以,不过就是没有具体的串成一条线。故而我想通过自己的理解整理一下,如有不对之处,还请大佬们不吝赐教。 正文: 当我们在访问框中输入www.baidu.com时,它会通过dns进行域名解析,获取目标主机的ip。 此时,它的请求消息中,其实已经知道了目标主机的ip和端口(端口号知道是因为,不同的服务事先都设定好了端口号,当访问某个服务时,我们可以很容易的知道该服务的端口号)。 在此前提下,首先在应用层
使用第三方PC通信设备进行抓包的方法
viqjeee的博客
03-16 2245
使用第三方PC通信设备进行抓包的方法一、 利用ettercap来抓包二、真实抓包经历1.准备工作2. ettercap配置过程3. 开始抓包 一、 利用ettercap来抓包 我们在日常设备开发、调试或者维护的时候,通常需要对其通信数据包进行分析。但由于条件限制,一些设备上不方便抓包,这时就需要用到其它设备进行辅助抓包,比如交换机端口镜像,但毕竟要求条件比较高。其实我们可以采用一种取巧的方式,使用一台PC机运行ettercap进行中间人的方式,然后在这台PC上监控那些设备之间的通信数据,进行抓包。 使
Linux下ettercap和wireshark抓取局域网内其他设备的包(非本机的包)
qq_43226213的博客
04-16 3646
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录准备正式开始 准备 1.操作系统:树莓派OS(因为我的虚拟机的无线网卡找不到,所以暂时用的我树莓派下的系统) 2.安装ettercap和wireshark sudo apt-get install wireshark sudo apt-get install ettercap-text-only sudo apt-get install ettercap-graphical 3.输入iwconfig查看自己的无线网卡 wlan0
01 TCP/IP协议和数据抓包实操
qq_37824570的博客
04-05 1137
网络协议 计算机网络是什么? 随着计算机技术发展,计算机的体积和价格都在下降,之前计算机多用于研究机构,现阶段逐步进入一般的公司用于办公。原来计算机之间传输数据需要通过软盘等第三方存储介质进行转存,人们需要将数据直接通过通信线路传输,来缩短传输时间,于是计算机网络开始诞生,并逐渐发展为现在巨大的Internet。 定义和分类 计算机网络的标准定义是:利用通信线路将地理上分散的、具有独立功能的计算机系统和通信设备按不同的形式连接起来,以功能完善的网络软件及协议实现资源共享和信息传递的系统。 计算机网
Wireshark实战之局域网监听
热门推荐
zkwniky的博客
09-24 3万+
直接上手网络工程师的最爱Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢?第一ARP嗅探,劫持网关,再本地抓包. 第二交换机镜像端口,在路由或者交换机处设置,复制一份数据到指定机子端口. 第三Ap一个无线,让他们连接,然后再抓包. 第一种方法不用考虑,第二种方法因为企业级路由才有镜像端口功能,我等屌丝用的TP-LINK无这
对于Ping的过程,你真的了解吗?
weixin_34236497的博客
12-23 1297
一、概览 对于ping命令,想必只要是程序员都知道吧?当我们检查网络情况的时候,最先使用的命令肯定是ping命令吧?一般我们用ping查看网络情况,主要是检查两个指标,第一个是看看是不是超时,第二个看看是不是延迟太高。如果超时那么肯定是网络有问题啦(禁ping情况除外),如果延迟太高,网络情况肯定也是很糟糕的。那么对于ping命令的原理,ping是如何检查网络的?大家之前有了解吗?接下来我们来跟...
Wireshark简单抓包
qq_49485327的博客
09-28 6200
Wireshark
wireshark网络分析就这么简单》实验一两主机互通
最新发布
qq_53504528的博客
03-26 307
主机A收到主机B的报文后,认为和主机B在同一网段,通过ARP广播问主机B的MAC地址,主机B没有通过网关而是直接通过交换机arp单播回复主机A。主机A获取到主机B的MAC地址后,封装ICMP报文,源MAC地址为A,目的MAC地址为B,没有通过网关中转,直接发送给主机B。主机B收到主机A的ICMP报文后发现和主机A不在同一个网段,便通过ARP广播请求网关的MAC地址,网关随后单播回复主机B。之后主机B封装ICMP报文回复主机A,不过目标MAC地址不是主机A,而是网关MAC,通过网关中转发送给主机A。
如何判断tcpwireshark抓包数据传输报文时发送报文还是确认报文
05-30
Wireshark中,可以通过TCP协议的标志位来判断TCP报文是发送报文还是确认报文。TCP报文的标志位包括URG、ACK、PSH、RST、SYN和FIN。其中,ACK标志表示确认报文,而PSH和ACK标志同时被设置则表示发送报文。在WiresharkTCP协议解析窗口中,可以看到每个TCP报文的标志位情况,从而判断其是发送报文还是确认报文。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值