TCP序列号与ack的计算(Wireshark抓包分析)

最新推荐文章于 2025-04-01 21:34:19 发布
最新推荐文章于 2025-04-01 21:34:19 发布
阅读量4.7k 收藏 46
点赞数 12
文章标签: wireshark tcp/ip udp ack 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzzzzec/article/details/119917677
版权

前言

最近在做一个关于TCP的实验,需要了解TCP的seq和ack的发送机制,看了很多文章之后,再结合着实际的测试,归纳出了seq和ack的计算方法
这里不得不说一句,关于怎么计算seq和ack网上的教程和文章实在是太少了,一搜TCP,出来的就是三次握手和四次挥手,难道TCP只需要握手和挥手就行了吗。

结论

先说结论:
在已经建立好连接的TCP上(只考虑数据包和ack包),seq和ack的计算规则为
本次要发送的包的 seq = 上一个发送的包的seq + 上一个发送的包的长度(不含包头)
本次要发送的包的 ack = 上一个接收到的包的seq + 上一个接收到的包的长度(不含包头)

分析

按照我的理解,seq和ack都是指针 。seq指示要发送的包在窗口中的起始位置 ,ack指示已经接收的包的位置
下面我就用我wireshark抓的包和画的实例图一起分析一下

第一个包:

在这里插入图片描述
在这里插入图片描述
第一个包是 客户端 发向 服务器 的数据包,长度为 517 字节
首先,seq和ack的值都是1,这是握手后的状态。
然后,第一个包对应TCP流行图的第四行
此时要发送的数据包的起始位置是1,还没有已经接收到的数据包,所以ack 也为 1。

第二个包

在这里插入图片描述
在这里插入图片描述
再第一个包发完之后,客户端的seq(下一个要发送数据的其实位置)要后移 517 字节
第二个包是 服务器 发向 客户端 的ack包
服务器的接收窗口收到数据,所以ack = 已收到的字节 = 1 + 517 = 518 = 上一个收到的包的seq + 包长
由于服务器并没有发送数据,所以seq(下一个要发送数据起始位置)保持不变
客户端接收到了ack包,但是这个包没有数据,所以客户端的接收窗口不变。

第三个包

在这里插入图片描述
在这里插入图片描述
第三个包是 服务器 发往 客户端 的数据包 长度为 96
seq(发送数据的起始位置)= 1;
ack (接收数据的末尾)= 518;

第四个包

在这里插入图片描述
在这里插入图片描述

在服务器发送第三个包之后, seq后移 96 个字节,变成 96 + 1 =97
客户端收到第三个包,ack后移96,变成 96 + 1 =97
第四个包是 服务器 发往 客户端 的 数据包长度 6 个字节
所以这个包的 seq(发送数据的起始位置) = 97
由于服务器没有接收到新的数据,所以 ack(接收数据的末尾) = 518(不变)

第五个包

在这里插入图片描述
在这里插入图片描述

服务器发送第四个包后,seq后移6字节(图中蓝色部分),seq = 97 + 6 = 103
客户端收到第四个包,ack后移6字节 ack = 97 + 6 = 103
第五个包是 服务器发送 给 客户端 的数据包(长度45字节)
容易计算 seq = 103
ack = 518(不变)

第六个包

在这里插入图片描述
在这里插入图片描述
这是一个由客户端发往服务器的ack包,但是需要注意的是,这个包是对 第四个包(长度为6)的数据包的ack
seq(发送数据的起始位置) = 518
ack (已经接收的包)= 1 + 96 + 6 = 103

以此类推

以此类推,就可以分析每一个数据包的seq和ack的值了,附上完整的流行图
在这里插入图片描述

结语

我是用指针的方式来理解seq和ack的,经过学习才发现,理论上(自顶向下)的TCP的和实际的TCP还是有非常大的差别的。
这篇文章是我自己的总结,难免有不对的地方,希望大家指正。

zzzzzec
关注
TCP 序列和确认号说明 | seq 和 ack计算方法
u013669912的博客
01-15 1176
……
TCP协议的seq、ack计算实际中tcp断开的优化
qq_35362055的博客
10-20 758
TCP协议的seq、ack计算实际中tcp断开的优化 wireshark显示的seq是相对序号 seqack都为4个字节 当连接建立后,每个包都必须把ACK置为1,并携带ack seq的语义 序号范围[0,2^32-1],序号增加到 2^32-1 后,下个序号又回到 0。tcp是面向字节流的,每个字节流都会被按顺序编号,seq指的是当前包的第一个字节在整个数据流中应该在的位...
【转载】TCP的seq和ack计算方法
allin的博客
04-14 2227
seq和ack号存在于TCP报文段的首部中,seq是序号,ack是确认号,大小均为4字节(注意大写的ACK不同,ACK是6个控制位之一,大小只有一位, 仅当 ACK=1 时ack字段才有效。建立 TCP 连接后,所有报文段都必须把 ACK 字段置为 1。) seq:占 4 字节,序号范围[0,2^32-1],序号增加到 2^32-1 后,下个序
TCP的seq和ack计算方法
陈贤鹏的博客
08-02 8444
握手阶段: 序号 方向 seq ack SYN ACK 1 A->B 10000 0 1 0 2 B->A 20000 10000+1=10001 1 1 3 A->B 10001 20000+1=20001 0 1 数据传输过程中seq和ack的值: 序号 方向 seq ack size 23 A->B
网络抓包工具Wireshark使用分析
最新发布
weixin_45507491的博客
04-01 348
RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。ACK和SYN,FIN等是可以同时使用,比如SYN和ACK同时为1,表示建立连接之后的响应,如果只是单个的一个SYN,表示只是建立连接。TCP的几次握手就是通过这样的ACK表现出来的。PSH为1的情况,一般只出现在 DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。TCP Dup ACK重复确认,来通知服务端数据包被接受,等待服务端发送更多的包。TCP的连接建立和连接关闭,都是通过请求-响应的模式完成的。
计算TCP序列号
zwlww1的博客
01-18 1143
#!/usr/bin/python #coding=utf-8 from scapy.all import * def calTSN(tgt): seqNum = 0 preNum = 0 diffSeq = 0 # 重复4次操作 for x in range(1,5): # 若不是第一次发送SYN包,则设置前一个序列号值为上一次SYN/A
TCP包的seq和ack计算方法
热门推荐
怀素的专栏
06-26 5万+
序号(seq)用来标识从TCP发端向TCP收端发送的数据字节流,它表示在这个报文段中的的第一个数据字节。如果将字节流看作在两个应用程序间的单向流动,则TCP用序号对每个字节进行计数。序号是32bit的无符号数,序号到达232-1后又从0开始。 当建立一个新的连接时,SYN标志变1。序号字段包含由这个主机选择的该连接的初始序号ISN(InitialSequenceNumber)。该主机要发送数...
TCPACK
Wengzhengcun的博客
12-04 3392
TCP接收到连接的另一端点发来的数据时,它会发送一个确认。这个确认可能不会立即发送,而会延迟片刻。TCP使用的ACK是累积的,因此,一个指示字节号N的ACK暗示所有直到N的字节(但不包括N)都已经被接收了。这对于ACK丢失来说,提供了一定的鲁棒性,因为如果序列号1212的ACK丢失,但是收到序列号1213的ACK,则说明发送1212的报文已经被接收方收到并处理了。 TCP头里有个32位的序列号...
TCP确认序号
wongsmax的博客
04-09 1012
TCP数据传输过程中,确认序号 = 原始序号+TCP段长度如:A发送给B,100B,200B两段数据则最终确认序号 = 100+200+(100+200)=600
TCP序列号和确认号详解
10-14
TCP序列号和确认号详解,方便对TCP/IP协议有更深入理解
使用WireShark抓包分析TCP_IP协议_wiresharkip协议分析
2401_87555661的博客
11-12 1687
(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用抓包分析 TCP/IP 协议,用实践来验证理论。
Wireshark抓包分析TCP“三次握手,四次挥手”.doc
07-08
Wireshark 抓包分析 TCP“三次握手,四次挥手” Wireshark 是一个功能强大的网络抓包工具,通过它我们可以抓包分析 TCP/IP 传输过程。在本文中,我们将通过 Wireshark抓包分析 TCP“三次握手,四次挥手”...
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
在深入理解Wireshark抓包分析TCP三次握手及四次挥手之前,我们首先需要了解OSI七层模型TCP/IP四层/五层模型的基础概念,这有助于我们更好地理解数据在网络中的传输过程。 1. **物理层**:负责通过物理介质传输...
WireSharktcp通信数据的抓包
2301_77164542的博客
05-06 5116
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
TCP抓包分析wireshark软件)
m0_52036838的博客
11-16 4031
TCP抓包分析wireshark软件) 三次握手建立连接-发送数据-四次挥手断开连接 源IP地址和目标IP地址都为127.0.0.1 服务器端口号:9527,客户端端口号:55052
tcp序列号和确认号问题
笑看人生的博客
04-15 1419
的报文中的序列号 + len(数据长度)。特殊情况,如果收到的是SYN报文或者FIN报文,则改为上一次收到的报文中的序列号 + 1。的序列号 + len(数据长度)。特殊情况:如果上一次发送的报文是SYN报文或者FIN报文,则改为上一次发送的序列号 + 1。公式二:确认号 = 上一次。公式一:序列号=上一次。
基础知识2-seq ack
qq_28748657的博客
07-30 1925
1、三次握手 A-B 发syn包 seq=j B-A 发syn,ack包 seq=k ack=j+1 A-B 发ack包,seq=上一个包的ack ack=k+1 2、发起请求(seq表示这个包的序号,注意,这个序号不是按1递增的,而是按tcp包内数据字节长度加上,如包内数据是21字节,而当前IP1发到IP2的包的seq是10的话,那下个IP1发到IP2的包的seq就是10+21=31) A-B seq=k+1+data长度 ack=k+1 B-A seq=上一个ack ack=上一个seq 3、注:
关于TCP包的seq和ack计算方法(个人理解)
weixin_42436161的博客
03-23 3415
SYN包;ACK包;FIN包;PSH包; SYN/FIN的传输虽然没有data,但是会让下一次传输的packet seq增加一。 seqNumber:本包的数据是从什么位置开始的,表明数据的位置。 AckNumber:我希望对方下一次从什么位置开始放数据。 三次握手(1~3) 第一次握手:客户端发送SYN包请求连接 SYN=1 //代表是SYN包 seqNumber = 0 //由于是第一次发送,则数据是在地址0开始计算,即告诉服务器,我的数据是从整个包的0开始的 Ack...
Wireshark抓包分析TCP三次握手四次挥手详解
- **三次握手分析**:通过分析tcp_3handshake.pcapng文件,用户可以找到上述三次握手的三个步骤对应的三个TCP包,并且能够仔细分析每个标志位以及序列号的变化。 - **四次挥手分析**:在tcp_4teardown.pcapng文件中...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值