Wireshark 提示和技巧 | 快速显示过滤之 TCP 三次握手

已于 2024-07-20 10:57:51 修改
阅读量4.4k 收藏 14
点赞数 1
分类专栏: NetShark 文章标签: tcp/ip wireshark 网络 tcpdump 网络协议
于 2021-10-22 08:10:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47627078/article/details/120874085
版权

标题

首先简单说说标题的含义。
快速 主要是想尽量的快速且方便的进行过滤;
显示过滤 对,说的是显示过滤,而非捕获过滤。
TCP三次握手 仅过滤 TCP 三次握手的相关数据包。


相信最常用的是过滤方法就是 tcp.flags.syn == 1 ,该显示过滤方式针对 SYN 进行过滤,因此得到的的仅是 TCP 三次握手的前两个包,并不包括最后一个 ACK 数据包。

或者使用 tcp.stream == xx 的过滤方式也可以看到想要的结果,如果存在三次握手,则会显示在 TCP 流 xx 的数据包的最上面,但这种方式过滤得到的不仅仅是 TCP 三次握手数据包。

而本文仅针对只过滤出 TCP 三次握手数据包的方式。


基础

TCP 首部报文格式图,镇楼,经典~
TCP3-01
本文不赘述 TCP 首部各字段以及 TCP 三次握手的概念,主要重点关注 TCP Flags ,其他字段再相应展开。

显示过滤表达式主用: tcp.flags、tcp[13]


实例

  • 使用相对序列号;
  • == 或 eq、>= 或 ge、<= 或 le、and 或 &&、or 或 || ,看个人喜好或习惯,无差异。
  1. 仅 SYN

tcp.flags.syn == 1 && tcp.flags.ack == 0 TCP Flags SYN 位置 1,ACK 位置 0。
或者
tcp[13] == 2 仅 SYN 位置 1 即可,值为 2。
或者
tcp.flags == 0x002 非标准过滤(黄色提示),但仍可运行。

推荐第一种写法;
第二种和第三种写法,大多数情况适用,但是在存在 ECN、CWR 的场景下并不准确。


  1. 仅 SYN/ACK

tcp.flags.syn == 1 && tcp.flags.ack == 1 TCP Flags SYN 位置 1,ACK 位置 1。
或者
tcp[13] == 12 SYN 位置 1,ACK 位置 1 ,值为 12。
或者
tcp.flags == 0x012 非标准过滤(黄色提示),但仍可运行,不推荐。

推荐第一种写法;
第二种和第三种写法,大多数情况适用,但是在存在 ECN、CWR 的场景下并不准确。


  1. 仅 ACK

tcp.seq == 1 && tcp.ack == 1 && tcp.len == 0 && tcp.analysis.initial_rtt
或者
tcp.seq == 1 && tcp.ack == 1 && tcp.len == 0 && !(tcp.window_size_scalefactor == -1)

或者一些大同小异的写法
tcp.seq == 1 && tcp.ack == 1 && tcp.nxtseq == 1 && tcp.analysis.initial_rtt
tcp.seq == 1 && tcp.ack == 1 && tcp.nxtseq == 1 && !(tcp.window_size_scalefactor == -1)
tcp.seq == 1 && tcp.ack == 1 && tcp.nxtseq == 1 && (tcp.window_size_scalefactor >= 0 or tcp.window_size_scalefactor == -2)

tcp.len == 0tcp.nxtseq == 1 可互换使用;
tcp.analysis.initial_rtt!(tcp.window_size_scalefactor == -1)(tcp.window_size_scalefactor >= 0 or tcp.window_size_scalefactor == -2) 可互换使用。


在大多数情况下,tcp.seq == 1 && tcp.ack == 1 && tcp.len == 0 即可正常过滤出 TCP 三次握手的第三个 ACK,但是进一步测试表明,并不完美。可能的特殊情况包括:

  • TCP 三次握手的第三个数据包包含数据

不可能嘛?完全有可能的情况。

  • 不存在 TCP 三次握手的 TCP 流

还会显示不存在三次握手(未捕获到)的 TCP 流的每个方向上的第一个数据包,此处需要重点理解 相对序列号 的概念。

针对第一种情况,可能完美的过滤方式并不存在;
针对第二种情况,因此增加排除 tcp.window_size_scalefactor == -1 ,即没看到三次握手数据包,窗口大小因子为 -1 的场景。


  1. SYN + SYN/ACK

tcp.flags.syn == 1
或者
tcp[13] & 2 特殊写法


  1. SYN + SYN/ACK + ACK — 完整的 TCP 三次握手

(tcp.flags.syn == 1) or (tcp.seq == 1 && tcp.ack == 1 && tcp.len == 0 && tcp.analysis.initial_rtt)

该方法也可能会包括 TCP 三次握手的一些重传包;
同样,后半段也可使用 3 中介绍的一些不同写法。


数据包的世界没有不可能,上述方法并不一定完美适合所有情况。手头上虽然没有实际的数据包文件,但是能想到的一些特殊场景,可能会影响第三个 ACK 的抓取,结果就是过滤后的数据包只多不少,包括:

  • TCP 三次握手成功后,立马 FIN 或 RST 的场景;(可再加上 !tcp.flags.fin == 1 或者 !tcp.flags.reset == 1 进行过滤)
  • TCP 三次握手成功后,Len 1 数据包过后进入 Keepalive 的场景;(或者直接进入的场景,脑补中)
  • … 待补充

总结

之后可通过 Analyze -> Display Filters 增加过滤表达式书签或者增加 Display Filter Button 等方式,即可快速应用该 TCP 三次握手 显示过滤。


感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。
7ACE
关注
专栏目录
网络安全 | 网络协议】结合Wireshark讲解TCP三次握手
等风来
12-25 4270
由上图可以看到,seq为1,表示客户端期望收到的下一个序列号是1;ack为1代表本机同意接受连接;syn为1并进入set状态,表示确认服务端(baidu.com)的同意(即确认服务器的序列号为0)在建立 TCP 连接时,需要进行三次握手,防止因为网络延迟、拥塞等原因导致的数据丢失或错误传输,确保双方都能够正常通信。由上图可以看到,seq为0,表示客户端的初始序列号为0;syn为1并进入set状态,说明本机请求建立连接并等待baidu.com的响应。由上图可以看到,seq为0,表示服务端的初始序列号为0;
Wireshark 抓包过滤器使用及TCP三次握手深层分析
崔同学的博客
07-21 4261
Wireshark 抓包过滤器使用及TCP三次握手深层分析 前言 笔者上一篇写过 Docker 的博客 logo 就是一条小鲨鱼,没想到这次想要更的内容,碰巧也是和鲨鱼有关,当然只有 logo 有关了,哈,看来和 shark 有不解之缘。 一、Wireshark介绍与安装 Wireshark 是非常流行、功能强大的网络数据包分析软件,并且开源免费。可在 Wireshark官网下载对应系统版本的软件,笔者本文使用 V3.2.5 Windows 64-bit。它用于软件开发、软件测试等工作中debug十分方
Wireshark入门 tcp三次握手
12-12
Wireshark入门 tcp三次握手
结合Wireshark抓包实战,图文详解TCP三次握手及四次挥手原理(附下载)
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
09-01 1334
TCP(Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP是互联网核心协议之一,位于OSI模型的传输层,负责在互联网上的计算机之间提供可靠的数据传输服务。
网络安全】Wireshark过滤数据包&分析TCP三次握手
九芒星的博客
01-30 7370
wireshark是一个网络封包分析软件,它可以撷取网络封包,并尽可能显示出最为详细的网络封包信息,本次我们以抓取WLAN数据包为例,演示网络中数据包传输的过程。
网络WireShark过滤 | WireShark实现TCP三次握手和四次挥手
康师傅没有眼泪
01-29 6161
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
深入解析Wireshark2:过滤器与TCP三次握手分析
Thanks_ks的IT探秘之旅
05-16 1340
本博客深入探讨了Wireshark这一强大的网络分析工具,从捕获过滤器到显示过滤器的设置与应用,再到针对数据链路层、网络层、传输层、应用层等各个网络层次的常见显示过滤需求,提供了详尽的过滤表达式和操作步骤。此外,博客还介绍了如何利用Wireshark分析TCP三次握手过程及TCP数据包,帮助读者更好地理解网络协议和数据传输过程。无论是网络工程师、安全分析师还是系统管理员,都能从这篇博客中获得实用的Wireshark使用技巧网络分析知识。
WireShark界面介绍、过滤器设置、TCP三次握手四次挥手演示、抓包
zz2230633069的博客
02-10 3431
WireShark界面介绍、过滤器设置、TCP三次握手四次挥手演示、抓包。
Wireshark基本介绍和学习TCP三次握手.docx
05-24
Wireshark 基本介绍和学习 TCP 三次握手 Wireshark 是一个网络协议分析工具,可以捕获和显示网络中的数据包,帮助用户了解网络中的数据传输情况。Wireshark 的主要功能是捕获和分析网络中的数据包,可以检查网络...
WireShark抓包分析TCP三次握手过程,TCP报文解析
wangyuxiang946的博客
09-20 2万+
使用WireShark工具抓取TCP协议三次握手的数据包,分析TCP三次握手过程,分析TCP报文中各个字段的作用。
使用WireShark查看TCP三次握手
大河之犬的博客
03-01 2741
待加载完成后,停止抓包,进行流量分析。
使用wireshark查看TCP三次握手
春风化雨
08-24 6521
1、打开wireshark,输入http过滤ip.addr == 47.102.168.177 and tcp。客户端,发送一个TCP,标志位为 [SYN] Seq = 0, 代表客户端请求建立连接。4、看到框出来的三条记录,即为wireshark截获到了TCP三次握手的三个数据包。服务器发回确认包,标志位为 [SYN,ACK] Seq=0,ACK = 1。客户端再次发送确认包[ACK] Seq=0,ACK = 1。如上面通过了TCP三次握手,建立了连接。2、打开浏览器,输入网址回车。
tcpwireshark过滤规则
enjoy.day
03-02 1283
  去这里看
Wireshark图解三次握手
因上努力,果上随缘。但行好事,莫问前程。
08-08 1027
TCP是一种可靠的全双工传输方式,三次握手保证了客户端和服务端的序列号都能保证确认。
使用wireshark抓取三次握手
sukiki09的博客
02-23 8098
wireshark 使用ping命令获取IP地址 在过滤器中设置目标地址为182.92.187.217和http协议后可以得到数据 使用右键追踪tcp流后看到http协议上方有三条tcp连接,即为tcp3次握手 其中对于IP协议获取到的报文内容如下 Internet Protocol Version 4, Src: 192.168.1.108, Dst: 182.92.187.217 0100 .... = Vers...
Wireshark过滤TCP重传数据包
Joseph_ChiRunningAnt的博客
08-13 1万+
Wireshark过滤TCP重传数据包 1. TCP Retransmission数据包是由于通讯超时产生的重传数据包,在网络性能差的情况下经常会看到这类数据包。因而使用Wireshark即可过滤或者显示这类数据包。 2. 先显示TCP重传数据包 wireshark命令tcp.analysis.retransmission可以看到如下图 都是TCP重传数据包。 3. 过滤...
TCP三次握手wireshark抓包分析
热门推荐
牛仔的blog
12-19 7万+
本文内容有以下三个部分: wireshark过滤规则 osi模型简述 tcp三次握手 一、wireshark过滤规则wireshark只是一个抓包工具,用其他抓包工具同样能够分析tcp三次握手协议。以下这张图片完整地展现了wireshark的面板。使用好wireshark一个关键是如何从抓到的众多的包中找到我们想要的那一个。这里就要说filter过滤规则了。如上图,在过滤器方框,我们加上了ip.sr
Wireshark抓包三次握手
m0_69764745的博客
04-16 546
在第三个报文中(上面截图),是客户端向服务端发送请求连接,因此源地址为我的电脑IP:Src:172.16.23.67,目的地址为百度地址:Dst:110.242.68.4,源端口为:60828,目的端口为:80,seq=1,ack=1,SYN置0(如不向报文内添加内容,则不继续消耗序号),ACK置1。要说明的是,在以上的报文中,我们所看到的seq,ack,全是经过Wireshark处理过的,目的是方便我们理解,实际序号会很混乱。服务端在收到连接请求报文后,若同意连接,则返回一个确认报文,
Wireshark深入学习:解析TCP三次握手
在介绍TCP三次握手之前,我们先来详细了解一下Wireshark的基础操作。启动Wireshark后,你可以选择要捕获数据包的网络接口,然后开始抓包。Wireshark的界面主要由以下几个部分组成: 1. 封包列表(PacketListPane):...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值