wireshark抓包及TCP协议三路握手与四次挥手的学习

已于 2023-08-28 20:27:15 修改
阅读量176 收藏 2
点赞数
分类专栏: 计算机网络 文章标签: wireshark tcp/ip 学习 网络协议 网络
于 2023-08-18 18:40:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52018852/article/details/132346952
版权

文章目录


最近在复习计算机网络时,了解到了Wireshark这个软件,今天以抓包tcp三路握手与四路挥手为例,开始学习使用。

1.wireshark的下载

Wireshark是一个功能强大且灵活的网络封包分析工具,可用于捕获、分析和理解网络流量。它是网络管理员、安全专家和开发人员的重要工具,帮助他们识别和解决网络问题,提高网络性能和安全性。
wireshark下载地址:wireshark官方下载地址
点击链接后,会跳转到以下界面:
在这里插入图片描述

根据自己的电脑配置,可以选择不同版本,其中:

  • Windows Intel Installer: 这是Wireshark的Windows平台版本,针对使用Intel处理器的Windows计算机进行了优化和适配。它是通过安装程序(Installer)进行安装,提供了用户友好的图形界面和各种功能。
  • Windows Intel PortableApps®: 这是Wireshark的Windows平台版本,针对使用Intel处理器的Windows计算机进行了优化和适配。它是一个可便携应用程序(PortableApps®),可以在不需要安装的情况下直接运行,方便携带和使用。

我选择的是Windows Intel Installer的版本安装使用。

2.TCP协议介绍

传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。

2.1 TCP报文结构

在这里插入图片描述
TCP的首部格式如图1所示:
Source Port是源端口,16位。
Destination Port是目的端口,16位。
Sequence Number是发送数据包中的第一个字节的序列号,32位。
Acknowledgment Number是确认序列号,32位。
Data Offset是数据偏移,4位,该字段的值是TCP首部(包括选项)长度除以4。
标志位: 6位,URG表示Urgent Pointer字段有意义:

  • ACK表示Acknowledgment Number字段有意义
  • PSH表示Push功能,RST表示复位TCP连接
  • SYN表示SYN报文(在建立TCP连接的时候使用)
  • FIN表示没有数据需要发送了(在关闭TCP连接的时候使用)

Window表示接收缓冲区的空闲空间,16位,用来告诉TCP连接对端自己能够接收的最大数据长度。
Checksum是校验和,16位。和UDP报文一样,有一个校验和,用于检查报文是否再传输过程中出现差错。
Urgent Pointers是紧急指针,16位,当URG = 1时有效,指出本报文段紧急数据的字节数。

2.2 TCP三路握手

在这里插入图片描述

为了确保客户端和服务端都能正常发送和接收数据。三次握手都是从客户端开始。

握手前状态:客户端和服务端都是处于连接关闭状态。服务端首先处于listen状态,等待客户端连接,然后就进入三次握手。

  1. 客户端向服务器端发送一个SYN(synchronize)包,随后客户端进入SYN-SENT阶段。
    • 标志位位SYN:表示请求建立连接;
    • 序列号位Seq = x(x一般为随机数);
  2. 服务端收到客户端发送SYN包后,对该包进行确认后结束LISTEN阶段,并返回一段TCP报文,随后服务器端进入SYN-RECV(同步接收)阶段。
    • 标志位为SYN和ACK:表示确认客户端的报文Seq序号有效,服务器能正常接收客户端发送的数据,并同意创建新连接;
    • 序号为Seq = y,将自己的初始序列号同步给客户端;
    • 确认号为Ack = x + 1,表示收到客户端的序列号Seq并将其值加1作为自己的确认号Ack的值,告诉客户端自己接收的Seq没错;
  3. 客户端接收到发送的SYN+ACK包后, 明确了从客户端到服务器的数据传输是正常的,从而结束SYN-SENT阶段。并返回最后一段报文,随后客户端进入ESTABLISHED状态。
    • 标志位为ACK,表示确认收到服务器端同意连接的信号;
    • 序号为Seq = x + 1,表示收到服务器端的确认号Ack,并将其值作为自己的序号值;
    • 确认号为Ack = y + 1,表示收到服务器端序号seq,并将其值加1作为自己的确认号Ack的值。
  4. 当服务器收到来自客户端确认收到服务器数据的报文后,得知从服务器到客户端的数据传输是正常的,从而结束SYN-RECV阶段,进入ESTABLISHED阶段,从而完成三路握手。

为什么进行三次握手?

确认客户端和服务器端都能正常的收发数据

  • 第一次握手:确认客户端可以正常发数据
  • 第二次握手:确认客户端可以正常发送数据,确认服务端可以正常接收数据
  • 第三次握手:客户端与服务器确认建立连接,双方准备开始传输数据

2.3 TCP四次挥手

在这里插入图片描述
为了告知客户端和服务端未发送的数据发送完毕,并且关闭连接,四次挥手都是从客户端开始的。

挥手前状态:客户端和服务端都处于连接状态(ESTAB-LISHEN),进入四次挥手。

  1. 首先客户端发送一段TCP报文表明想是否TCP连接,随后客户端进入FIN-WAIT-1阶段,即半关闭阶段,并且停止向服务端发送通信数据。

    • 标记位为FIN,表示请求释放连接;
    • 序号为Seq = u;

  2. 服务器接收到客户端请求断开连接的FIN报文后,结束ESTABLISHED阶段,进入CLOSE-WAIT阶段并返回一段TCP报文,随后服务器开始准备释放服务器端到客户端方向上的连接。客户端收到服务器发送过来的TCP报文后,确认服务器已经收到了客户端连接释放的请求,随后客户端结束FIN-WAIT-1阶段,进入FIN-WAIT-2阶段

    • 标记位为ACK,表示接收到客户端释放连接的请求;
    • 序号为Seq = v;
    • 确认号为Ack = u + 1,表示是在收到客户端报文的基础上,将其序号值加1作为本段报文确认号Ack的值。

  3. 服务器端在发出ACK确认报文后,服务器端会将遗留的待传数据传送给客户端,待传输完后即经过CLOSE-WAIT阶段,便做好了释放服务器端到客户端的连接准备,再次向客户端发出一段TCP报文,随后服务器端结束CLOSE-WAIT阶段,进入LAST-ACK阶段。并且停止向客户端发送数据。

    • 标记位为FIN和ACK,表示已经准备好释放连接了;
    • 序号为Seq = w;
    • 确认号Ack = u + 1,表示是在收到客户端报文的基础上,将其序列号Seq的值加1作为本段报文确认号Ack的值。

  4. 客户端收到从服务器发来的TCP报文,确认了服务器已经做好了释放连接的准备,于是结束FIN-WAIT-2阶段,进入TIME-WAIT阶段,并向服务器发送一段报文。

    • 标记位为ACK,表示接收到服务器准备好释放连接的信号;
    • 序号为Seq = u + 1,表示是在已收到服务器报文的基础上,将其确认号Ack值作为本段序列号的值;
    • 确认号为Ack = w + 1,表示是在收到了服务器报文的基础上,将其序号Seq的值作为本段报文确认号的值

  5. 随后客户端开始在 TIME-WAIT 阶段等待 2 MSL。服务器端收到从客户端发出的 TCP 报文之后结束 LAST-ACK 阶段,进入 CLOSED 阶段。由此正式确认关闭服务器端到客户端方向上的连接。客户端等待完 2 MSL 之后,结束 TIME-WAIT 阶段,进入 CLOSED 阶段,由此完成「四次挥手」。

为什么进行四次挥手?

为什么需要四次挥手 ?
确认双方都得知双方都没有要传输的数据。

第一次挥手:客户端向服务端请求关闭连接。

  • 客户端:客户端无数据传输。
  • 服务端:无感知。

第二次挥手:服务端收到客户端的请求,并且告知客户端等我处理完毕数据。

  • 客户端:客户端无数据传输。
  • 服务端:客户端无数据传输。

第三次挥手:服务端处理完毕数据,告知客户端,服务端数据处理完毕。

  • 客户端:客户端无数据传输,服务端无数据传输。
  • 服务端:客户端无数据传输,服务端无数据传输。

第四次挥手:客户端得知服务端数据处理完毕,双方数据都处理完毕,可断开连接。

  • 客户端:客户端无数据传输,服务端无数据传输。
  • 服务端:客户端无数据传输,服务端无数据传输,得知客户端知道服务端无数据传输。

3.wireshark抓包TCP三路握手与四次挥手

3.1MobaXterm与虚拟机连接

在这里插入图片描述

3.2MobaXterm与虚拟机断开

在这里插入图片描述

弗朗克21
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
wireshark抓包分析tcp三次握手四次挥手
06-25
使用wireshark抓包分析,并且将特殊字段进行分析。
Wireshark抓包分析TCP“三次握手四次挥手”.doc
07-08
Wireshark抓包分析TCP“三次握手四次挥手”.doc
Wireshark基本介绍和学习TCP三次握手
11-23
这篇文章介绍另一个好用的抓包工具wireshark, 用来获取网络数据封包,包括http,TCP,UDP,等网络协议包。 记得大学的时候就学习TCP的三次握手协议,那时候只是知道,虽然在书上看过很多TCP和UDP的资料,但是从来没有真正见过这些数据包, 老是感觉在云上飘一样,学得不踏实。有了wireshark就能截获这些网络数据包,可以清晰的看到数据包中的每一个字段。更能加深我们对网络协议的理解。 对我而言, wireshark学习网络协议最好的工具。 阅读目录 wireshark介绍 wireshark不能做的 wireshark VS Fiddler 同类的其他工具
TCP协议握手挥手抓包分析.pdf
08-06
本文详细分析了TCP三次握手四次挥手wireshark抓包过程。。传输控制协议TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793 [1] 定义。 TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。
(图文并茂,权威最详细)Wireshark抓包分析 TCP三次握手/四次挥手详解
happylzs2008的专栏
11-27 5953
https://mp.weixin.qq.com/s/oK9T94rz_VdVhbjcNAYmmQ 本文结合wireshark抓包,对TCP协议的三次握手四次挥手进行详细的讲解。大家要认真看完,这可能是全网讲得最详细的文章了。 01 TCP/IP协议TCP/IP是一个协议族,通常分不同层次进行开发,每个层次负责不同的通信功能。包含以下四个层次: 1. 链路层,也称作数据链路...
Wireshark 1.6.5 Windows PortableApps (32-bit)
02-07
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 Wireshark 1.6.5 Windows平台 便携版 32位
使用Wireshark抓包,查看TCP的3次握手与4次挥手、SSL/TLS的4次握手
边行动边改善
04-22 4360
1.Wireshark 以访问https://www.gdis.org.cn(简称远程地址)为例。 为避免看不到密钥协商算法,建议远程地址可以改为:https://www.csdn.net/。 通过“Ping 域名”,获取IP地址: 打开Wireshark并输入过滤条件“ip.addr == 121.8.249.36”,清空Wireshark的已捕获数据,使用浏览器访问远程地址,即可看到抓包数据: 2.TCP的3次握手 清空浏览器Cookie(或重启浏览器),清空Wireshark的已捕获数据,使
蓝牙 - 如何在Windows下抓取蓝牙数据
guoqx的专栏
02-23 1万+
选择Windows Instarller(64-bit),最好不要选择PortableApps版,因为后面需要通过btvs.exe来启动Wireshark,如果是绿色可移植版,会启动失败。在安装完以后,找到btvs.exe文件,位于路径:C:\BTP\v1.14.0\x86下,这个视安装版本不同路径名不同。在第一台机器上启动btvs.exe,第二台机器上手动启动wireshark,并将第一台机器的IP地址作为参数。1,同一机器上,Wireshark安装后,会自动直接启动,如上面使用方式一样。
Wireshark数据包捕获与分析 观察三次握手四次挥手
Cx2008Lxl的博客
02-06 6678
本实验使用Wireshark抓取通信数据包。1)观察IP数据包的结构。2)观察TCP的三次握手四次挥手过程。
让应用程序与您形影相随-PortableApps.com
weixin_33674437的博客
10-05 134
作为一名 IT 专业人员,您可能会经常需要从一台计算机移到另一台计算机。当您这样做时,您可能会希望能拥有一组随时可用的标准应用程序、工具和文档。满足这些需求的一种方法就是使用类似 PortableApps.com 所提供的启动程序平台。在其站点上,您可以找到免费的开源 PortableApps.com 平台,以及大量可独立运行于 USB 闪存驱动器、内存卡、便携式硬盘驱动器或数字音乐播放器中的便携...
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
6-第六次实验-wireshark抓包图解TCP三次握手四次挥手详解.docx
03-03
"TCP/IP 协议族详解 wireshark 抓包图解 TCP 三次握手四次挥手详解" TCP/IP 协议族是指由 TCPIP 两个主要协议组成的协议簇,负责管理计算机之间的通信。该协议族分为四个层次:链路层、网络层、运输层和应用层...
网络WireShark过滤 | WireShark实现TCP三次握手四次挥手
康师傅没有眼泪
01-29 4331
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
Wireshark图解TCP三次握手四次挥手
qq_37705525的博客
06-02 2122
Wireshark图解TCP三次握手四次挥手
Wireshark抓包:理解TCP三次握手四次挥手过程
主要分享硬件、嵌入式软件部分知识
11-21 1962
TCP是一种面向连接、端到端可靠的协议,它被设计用于在互联网上传输数据和确保成功传递数据和消息。本节来介绍一下TCP中的三次握手四次挥手
Wireshark抓包分析TCP协议:三次握手四次挥手
NHB234567的博客
04-03 1243
面试中我们经常会被问到TCP协议的三次握手四次挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试掌握这两个底层协议的工作原理是非常有必要的!UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下TCP协议
wireshark抓包来分析TCP三次握手四次挥手操作
热门推荐
dfBeautifulLive的博客
12-12 1万+
说明:系统是windos10的,调用http接口来看TCP三次握手的连接及四次挥手的过程。 wireshark安装很好安装,官网下载自己系统的版本然后下载一键默认安装即可,安装完毕双击启动。就是如下图片: 也可以点击菜单选项捕获,用来选择要捕获的网络,也可以全选,点开始 这个时候进监控页面,因为其他开发的工具也在开着,可能会一直监控到对你来说没有用的信息,此时需要过滤捕捉你需要的信息,如,代表,过滤目标ip和源ip都是此ip,TCP的端口为8089才会抓取到控制台上。 ip.addr ==.
wireshark绿色便携版 v3.4.2.0
qq_43293214的博客
12-22 2355
wireshark前称为Ethereal,是一款免费且开源的网络嗅探抓包工具,同样也是世界上最流行的网络分析器,主要采用的是撷取网络封包,并尝试显示出最为详细的网络封包资料,它可以使您从微观角度查看网络中发生的事情,是许多商业、非营利性企业、政府机构和教育机构的首选软件。它拥有强大的过滤器引擎,用户可以使用过滤器筛选出有用的数据包,排除无关信息的干扰,以及wireshark网络抓包工具使用的是以WinPCAP作为接口,直接与网卡进行数据报文交换,可以实时检测网络通讯数据,检测其抓取的网络通讯数据快照文件,并
tcpdump抓包抓包导出.pcap文件用wireshark
最新发布
Mr_wilson_liu的博客
05-28 442
tcpdump -i any host 设备的ip
wireshark抓包分析 tcp三次握手/四次挥手详解
07-15
### 回答1: TCP三次握手四次挥手TCP协议建立和关闭连接时所采用的步骤。 三次握手是在客户端和服务器之间建立TCP连接时的过程。首先,客户端向服务器发送一个请求连接的数据包,该数据包包含一个随机生成的序列号(SYN),表示客户端希望建立连接。服务器接收到该请求后,向客户端回复一个确认连接的数据包,该数据包包含其自己生成的一个随机序列号(SYN-ACK),表示服务器同意建立连接。最后,客户端再次向服务器发送一个确认连接的数据包,该数据包中包含服务器的序列号加一(ACK),表示客户端接受服务器的连接请求。这样,TCP连接就建立起来了。 四次挥手是在客户端和服务器关闭TCP连接时的过程。首先,客户端发送一个关闭连接的请求数据包(FIN),表示客户端想要关闭连接。服务器收到该请求后,向客户端回复一个确认关闭连接的数据包(ACK),但自己的数据可能没有发送完毕。服务器等到自己的数据发送完毕后,发送一个自己的关闭连接请求数据包(FIN),表示服务器也希望关闭连接。客户端收到服务器的请求后,回复一个确认关闭连接的数据包(ACK),然后等待一段时间,确保服务器收到了该数据包。最后,客户端和服务器都关闭连接,四次挥手过程完成。 通过Wireshark抓包分析TCP三次握手四次挥手可以观察到每个数据包的源地址、目标地址、序列号、确认号等信息。可以通过Wireshark的过滤功能筛选出TCP协议相关的数据包进行分析。通过分析数据包的交互过程,可以确认连接建立和关闭的状态是否符合预期,并可以进一步分析网络延迟、丢包等问题。 综上所述,Wireshark抓包分析TCP三次握手四次挥手可以帮助我们深入理解TCP连接的建立和关闭过程,以及发现网络故障的根源。 ### 回答2: TCP是一种常用的传输层协议,它通过进行三次握手来建立连接,并进行四次挥手来终止连接。 三次握手的过程如下: 1. 客户端发送一个SYN标志位的TCP报文段给服务器,表示请求建立连接; 2. 服务器收到请求后,回复一个带有SYN和ACK标志位的TCP报文段给客户端,表示同意建立连接; 3. 客户端收到服务器的回复后,再次发送一个带有ACK标志位的TCP报文段给服务器,表示连接建立成功。 四次挥手的过程如下: 1. 客户端发送一个FIN标志位的TCP报文段给服务器,表示希望断开连接; 2. 服务器收到请求后,回复一个带有ACK标志位的TCP报文段给客户端,表示确认收到断开请求; 3. 服务器完成数据的发送后,发送一个带有FIN标志位的TCP报文段给客户端,表示自己也要断开连接; 4. 客户端收到服务器的断开请求后,发送一个带有ACK标志位的TCP报文段给服务器,表示确认断开,并进入TIME_WAIT状态。 在三次握手的过程中,第一次握手是客户端发起的,第二次握手是服务器回复同意建立连接,第三次握手是客户端回复确认连接。这个过程是为了确保双方都同意建立连接,以保证数据传输的可靠性。 在四次挥手的过程中,首先客户端发送断开请求,服务器回复确认,然后服务器发送断开请求,客户端回复确认。这个过程是为了保证双方都断开连接,并确保数据完整性。 Wireshark是一款网络抓包分析工具。使用Wireshark可以捕获网络数据包,并对数据包进行解析和分析。通过Wireshark,我们可以看到每个TCP报文段的具体内容,并对三次握手四次挥手的过程进行详细分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

弗朗克21

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值