一. 实验目的

通过本次实验，掌握使用Wireshark抓取TCP/IP协议数据包的技能，能够深入分析TCP帧格式及“TCP三次握手”。通过抓包和分析数据包来理解TCP/IP协议，进一步提高理论联系实践的能力。

二. 实验内容

1.本次实验重点：利用Wireshark抓TCP包及TCP包的分析。

2.本次实验难点：分析抓到的TCP包。

3.本次实验环境：Windows 7，Wireshark。

4.本次实验内容：

TCP协议是在计算机网络中使用最广泛的协议，很多的应用服务如FTP,HTTP,SMTP等在传输层都采用TCP协议，因此，如果要抓取TCP协议的数据包，可以在抓取相应的网络服务的数据包后，分析TCP协议数据包，深入理解协议封装，协议控制过程以及数据承载过程。两幅图分别是TCP帧格式及TCP三次握手。



 



三.实验过程

1. TCP包抓取及分析过程如下：

第一步，确定使用的协议，使用HTTP服务。选择http://www.sina.com.cn/作为目标地址。

第二步，启动抓包：点击【start】开始抓包，在浏览器地址栏输入http://www.sina.com.cn。



第三步，通过显示过滤器得到先关数据包：通过抓包获得大量的数据包，为了对数据包分析的方便，需要使用过滤器，添加本机IP地址和TCP协议过滤条件。

（1）打开命令提示符，通过ipconfig /all来查看本机IP地址。



（2）在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==196.168.100.131，过滤结果如下：



结果发现效果不是很好，于是将过滤条件中的IP地址更换为http://www.sina.com.cn的IP地址，操作过程如下：

（1）打开命令提示符，通过ping www.sina.com.cn来查看目标IP地址。



（2）打开命在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==218.30.66.248，过滤结果如下：



其中，红色框内即为一个三次握手过程：



第四步，分析TCP数据包，根据第一幅图中的数据帧格式，分析TCP包的各部分。

原端口/目的端口(16bit)。如下图所示，源端口为443，标识了发送进程；目的端口为3201，标识了接收方进程。


序列号(32bit)。如下图所示，发送序列号Sequence Number为0，标识从源端向目的端发送的数据字节流，它表示在这个报文端中的第一个数据字节的顺序号，序列号是32位的无符号类型，序号表达达到2^32 - 1后又从0开始， 当建立一个新的连接时，SYN标志为1，系列号将由主机随机选择一个顺序号ISN(Initial Sequence Number)。


确认号(32bit)。如下图所示，确认号Acknowledgment Number为1，包涵了发送确认一端所期望收到的下一个顺序号。因此确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。TCP为应用层提供全双工服务，这意味着数据能在两个方向上独立的进行传输，因此连接的两断必须要保证每个方向上的传输数据顺序。


偏移(4bit)。如下图所示，偏移32bytes，这里的偏移实际指的是TCP首部的长度Header length，它用来表明TCP首部中32bit字的数目，通过它可以知道一个TCP包它的用户数据从哪里开始。


保留位(6bit)。如下图所示，保留位Reserved未设置。


标志(6bit)。在TCP首部中有6个标志比特，他们中的多个可同时被置为1。如下图所示:


URG(Urgent Pointer Field Significant):紧急指针标志，用来保证TCP连接不被中断，并且督促中间设备尽快处理这些数据，图中其值为1。

ACK(Acknowledgement Field Signigicant)：确认号字段，该字段为1时表示应答字段有效，即TCP应答号将包含在TCP报文中，图中其值为1。

PSH(Push Function): 推送功能，所谓推送功能指的是接收端在接收到数据后立即推送给应用程序，而不是在缓冲区中排队，图中其值为0。

RST(Reset the connection): 重置连接，不过一搬表示断开一个连接，图中其值为0。

SYN(Synchronize sequence numbers):同步序列号，用来发起一个连接请求，图中其值为1。

FIN(No more data from sender)表示发送端发送任务已经完成（既断开连接）。

窗口大小(16bit)。 如下图所示，窗口大小Windows size value为29200，表示源主机最大能接收29200字节。


校验和(16bit)。如下图所示，校验和Checksum为0xc24f，包含TCP首部和TCP数据段，这是一个强制性的字段，一定是由发送端计算和存储，由接收端进行验证。


紧急指针(16bit)。如下图所示，URG标志为1，只有当URG标志置为1时该字段才有效，紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一段发送紧急数据的一种方式。


TCP选项。至少1个字节的可变长字段，标识哪个选项有效。Kind=0:选项表结束， Kind=1:无操作， Kind=2：最大报文段长度，Kind=3:窗口扩大因子， Kind=8:时间戳。如下图所示，Kind为2，代表最大报文长度MSS size。


数据部分。当前数据包的数据部分，如下图所示：


 

2. TCP三次握手：

第一次握手数据包：客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接，如下图所示（第一条）：



第二次握手的数据包：服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1，如下图所示（第二条）：



第三次握手的数据包：客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方。在进过三次握手后和服务器建立了TCP连接，如下图所示（第三条）：



 

Wireshark抓包分析TCP协议






版权声明:本文为作者原创文章，可以随意转载，但必须在明确位置表明出处！！！

之前有一篇文章介绍了http协议「初识http协议」， http协议协议是基于tcp协议的，所以作者觉得有必要针对tcp协议做一个介绍，希望各位读者能够静下心来认真阅读，也可以自己去看看TCP/IP协议详解这本书，一定要让自己成为那20%的人。
TCP（Transmission Control Protocol 传输控制协议）是一种面向连接的、可靠的、基于字节流的传输层通信协议，对TCP协议的文章网上已经很成熟了，今天我只是想总结一下知识，加深印象，所谓好记心不如烂笔头麻。
TCP/IP分层结构
TCP/IP协议栈主要分为4层：应用层，传输层，网络层，数据链路层

应用层
应用层负责处理特定的应用程序细节，像远程登陆，FTP传输，SMTP邮件传输，SNMP简单网络管理。

传输层
运输层主要提供两台主机之间端到端的通信，在TCP/IP协议族中，TCP和UPD是两种截然不同的传输协议，TCP（传输控制协议）为主机之间提供可靠传输，它把从应用层得到的数据分成适当的数据包交给下面的（IP）网络层，确定接收到的分组，设置发送最后确认分组的超时时钟等，因运输层提供了高可靠性的端到端的通信，应用层就不需要再去关注这些细节，而UDP(用户数据协议)提供的是不可能性的传输，它只负责从一台主机发送到另一台主机，并不保证此数据一定到达另一端主机，任何必需的可靠性必须由应用层来提供。

网络层
网络层主要处理分组在网络中的活动，网络层协议包涵IP,ICMP,IGMP协议。

链路层
链路层组要包涵网卡驱动程序，它处理和电缆或者其它传输介质的物理接口细节。链路层的主要目的有三个

为IP模块接收和发送IP数据报

为ARP模块发送ARP请求和接收ARP应答

为RARP模块接收RARP应答和发送RARP请求

所谓的协议就是通信双方都需要遵守的规则，这样才能明白对方要表达什么，就像两个人打电话一样，A说的是重庆话，B说的是广东话，这两人打电话肯定不知道对方说的是什么，这就叫他们没有遵守协议，若是都让他们说普通话这样俩儿人就都能听懂对方说的是什么意识了，普通话这里就相当于协议大家都要遵守。下面我将结合Wireshark抓包工具来分析TCP/IP协议
封装
数据进入协议栈的封装过程

当经过以太网层的封装后，就要通过网线或者其它传输介质把此封装好的数据报文发送到另一端去，另一段收到数据报后最先接触的是以太网层也就是我们的数据链路层协议，该层协议复制把以太网首部解析掉，让后把解析后的数据报上送到IP层，IP层把IP首部解析掉，然后上传到TCP层，依次类推每层协议解析其首部并判断其首部中的协议标识以确定接收数据的上层协议，然后上送到他的上一层。这就是封层结构的好处之一，每层协议只做自己的事，不是自己的事就交给别人去做。
TCP报文格式

Wireshark的抓包结果

原端口/目的端口(16bit)：
我们都知道网络之前的通信是不通主机之间的通信，就windows系统而言通过查看任务管理器我们可以知道一台主机有许多进程，当我们发送数据时怎么知道要发送到对方主机那个进程里呢，所以这就是端口号的作用，在TCP报文中包涵了源端口/目的端口，源端口标识了发送进程，目的端口标识了接收方进程。在此报文中我们的源端口号是0x8572 = 34162, 目的端口是0x01bb = 443如下图所示

序列号(32bit)
Sequence Number这个是发送序列号，用来标识从源端向目的端发送的数据字节流，它表示在这个报文端中的第一个数据字节的顺序号，系列好是32位的无符号类型，序号表达达到2^32 - 1后又从0开始， 当建立一个新的连接时，SYN标志为1，系列号将由主机随机选择一个顺序号ISN(Initial Sequence Number)。此报文中的序列号是0x9e546d6b早已超过了2^32 - 1 所以这里的序列号为0，如下图

确认号(32bit)
Acknowledgment Number它包涵了发送确认一端所期望收到的下一个顺序号。因此确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。TCP为应用层提供全双工服务，这意味着数据能在两个方向上独立的进行传输，因此连接的两断必须要保证每个方向上的传输数据顺序。
偏移(4bit)
这里的偏移实际指的是TCP首部的长度，它用来表明TCP首部中32bit字的数目，通过它可以知道一个TCP包它的用户数据从哪里开始，这个字段占4bit，若此字段的值为1000，则说明TCP首部的长度是8 * 4 = 32字节，所以TCP首部的最大长度是该字段的值为1111 = 15， 15 * 4 =60字节。此报文我们的偏移量在0x80中，又因它占4bit,0x80等于二进制的1000 0000 所以我们的偏移量是 1000 = 8，所以我们的TCP报文头为8 * 4 = 32字节。

Reserved(6bit)
目前没有使用，它的值都为0
标志(6bit)
在TCP首部中有6个标志比特，他们中的多个可同时被置为1

URG(Urgent Pointer Field Significant):紧急指针标志，用来保证TCP连接不被中断，并且督促中间设备尽快处理这些数据

ACK(Acknowledgement Field Signigicant):确认号字段，该字段为1时表示应答字段有效，即TCP应答号将包含在TCP报文中。

PSH(Push Function): 推送功能，所谓推送功能指的是接收端在接收到数据后立即推送给应用程序，而不是在缓冲区中排队。

RST(Reset the connection): 重置连接，不过一搬表示断开一个连接，如下图，主机192.168.3.27 访问主机211.150.84.8；但主机84.8并没有监听对于端口，这时它会向主机3.27发送一个RST位置的TCP包断开连接。


SYN(Synchronize sequence numbers):同步序列号，用来发起一个连接请求

FIN(No more data from sender):表示发送端发送任务已经完成（既断开连接）
窗口大小(16bit)
表示源主机最大能接收多少字节。
校验和(16bit)
包含TCP首部和TCP数据段，这是一个强制性的字段，一定是由发送端计算和存储，由接收端进行验证
紧急指针(16bit)
只有当URG标志置为1时该字段才有效，紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一段发送紧急数据的一种方式。
TCP选项
至少1个字节的可变长字段，标识哪个选项有效。Kind=0:选项表结束， Kind=1:无操作， Kind=2：最大报文段长度，Kind=3:窗口扩大因子， Kind=8:时间戳。
TCP的三次握手和四次挥手
整个过程如下图所示

TCP的三次握手
TCP的三次握手过程如下图所示，我们通过数据包来分析一下握手过程是不是和图中所画一致。

第一次握手
主机192.168.3.27向主机111.13.100.91发起连接请求，可以看在这时的SYN被置为1了，序列号Seq = 0，如下图

第二次握手
主机111.13.100.91应答主机192.168.3.27，可以看到这个时候的应答包含了SYN，ACK，ACK = Seq + 1 = 1， 这里的Seq是第一次握手发起请求的Seq值，并不是下图报文中红框表示的Seq值。

第三次握手
主机192.168.3.27应答主机111.13.100.91，可以看到这个时候的应答包是ACK， ACK = Seq + 1 = 1，这里的Seq是第二次握手主机111.13.100.91产生的序列值

在回头看看我们的svr4.1037主机和bsdi.discard之前的连接建立是不是和我们的报文分析的一致，第一次握手 SYN Seq = 1415531521; 第二次握手 SYN ack = 1415531521 + 1 = 1415531522 Seq = 1823083521；第三次握手 ack = 1823083521 + 1 = 1823083522；到这里就可以看出此过程和我们的报文分析是一致的。
可以看到三次握手后确定了双方包的序列号，最大接收数据的大小以及MSS(Maximum Segment Size)最大分片大小 MSS = MTU - IP头部长度 - TCP头部长度，MTU最大传输单元一班为1500字节，若TCP/IP报文都不带选项时MSS = 1500 - 20 - 20 = 1460，MSS的意思是最大分片大小，这里若是1460的话，那么若是应用程序发送大于1460个字节那么超过1460个字节数会分片为下一个包，下图是应用层发送4096个字节。


由于数据大小是4096个字节，所以用了三次进行传递(1448 + 1448 + 1200)。细心的人会问为什么每次传送的最大数据大小不是1460个字节呢?因为这里的TCP携带可选项，TCP头长度 = 20 + 12（可选选项大小） = 32字节。 这样能传输的最大数据为:1500 - 20 - 32 = 1448个字节。
TCP四次挥手

第一次挥手
将设客户端首先发起断开连接，那么客户端回想服务端发送FIN置为1的TCP包，请求断开连接，意思就是我要断开和你的连接了，但是如果你还有数据没有发送完给我你不必立即关闭连接。
第二次挥手
服务端收到客户端的断开连接请求立即响应一个ACK报文，意思是告诉客户端你发起的断开连接请求我已经收到了，但是我还没有准备好，你在等一会，这个时候服务器端可能还有数据要发送给客户端，也可能正在准备释放资源。这个时候客户端进入FIN_WAIT状态，继续等待服务端的FIN报文。
第三次挥手
服务端确认已经发往客户端的数据已经发送完成，则向客户端发送FIN报文，告诉客户端我已准备好关闭连接了。
第四次挥手
客户端收到服务端的FIN报文后就知道可以关闭连接了，当时它还是不确定，怕服务端还是不知道我要关闭连接了，所以发送一个ACK包后进入TIME_WAIT状态，如果服务端没有收到ACK那么服务端则可以发起重传，如果收到了ACK报文，客户端等待2MSL后已然没有收到回复，则证明服务端已经正常关闭了，那我也就可以关闭连接了。

TCP协议



在Filter中设置为：ip.dst == 222.199.191.33 or ip.src == 222.199.191.33

这个地址是干什么的不知道，只是跟它的交互特别多，就选他了。

 

分析第一个包：



源地址：我自己电脑的IP，就不放上来了

Destination: 222.199.191.33 目的地址

TCP：表明是个TCP协议

Length:66 表明包的长度是66个字节 ？？

56739->443 :表明是从源地址的56739端口发送给目的地址的443端口

[SYN]表明这是一个TCP的同步请求，是TCP握手的第一步

Seq=0: TCP协议中的序号，这里为0.

在TCP中第一个SYN 包所包含的 sequence 是随机的，而第一个 SYN+ACK包里的sequence 也是随机的，wireshark 为了你便于观察都使用相对值，初始化这两个随机值为0，后面的sequence 和 acknowledge 都在上面累加

Win=8192: 发送报文段一方的接收窗口。TCP协议中的字段

Len=0: 发送文件TCP报文段Datas段的长度

MSS=1460: 最大报文段长度，指每个TCP报文段中数据字段的最大长度。它不包含首部长度。是TCP首部中，选项中的字段。

WS=256:窗口扩大因子；只能在连接建立阶段确定；在连接期间他的值不能够改变；新的窗口值=首部中定义的窗口值乘以2的（窗口扩大因子）的次方；由于窗口值不够用。选项中的字段。 ？？书上说，窗口扩大选项占3个字节，其中一个字节表示移位值S，S最大为14，新的窗口值等于TCP首部中的窗口位数从16增大到（16+S）。可这里WS怎么会等于256呢？？

答：这里的256是指窗口扩大了256倍，其S=8, 2的8次方 = 256. 符合S<=14. 打开软件下面TCP部分的详细说明，有介绍。

SACK_PERM=1: 允许选择确认。 TCP选项中的字段。

 

恩，总算了解一点点了，这些信息是TCP协议上的内容。

下面，分析一下详细的内容，点击上面的包，下面会出现详细的信息，比如下面这样：



分别是什么意思呢？

经我思索了半天，才恍然大悟，这是根据网络分层模型显示的不同层的内容。

Frame 551: 对应的是这个包的概略信息，里面有我们是否对其做过标记，怎么用彩色显示之类的内容。

Ethernet II: 对应网络接口层，表明采用Ethernet II的太网标准帧格式。

Internet Protocal Version 4: 对应网络层，表明采用IPv4

Transmission Control Protocol：对应传输层，表明采用TCP协议。

 

下面，一个一个点开，看看里面的详细内容。

Ethernet II：



可以看到源和目标的硬件地址。

unicast表示单播。

？？那一堆的...是什么？ LG IG又是什么？？

答：那些点是指要标明的字段中非重要的信息未，重要的位的数字被显示出来了。

 

IPv4:

先把IP首部的格式放上来，有助于分析：



 



开始说明了使用的协议版本是IPv4, 首部长度是20字节。

Differentiated Services Field：区分服务字段

(DSCP 0x00: Default; ECN:0x00) 表示一个特定的上层协议所分配的重要级别，默认的DSCP值是0，相当于尽力传送，ECN字段被分为ECN-Capable Transport(ECT)bit和CEbit, ECT bit设置为0，表明该传输协议将忽略CE bit. CE bit 将由路由器设置，设置为0说明对末端节点不挤塞。

IP包的总长度为52字节，标志字段为1302

标识字段为0x02，表明没有分片，片偏移量为0，生存时间为128，上层协议为TCP

首部检验和下面的Good和Bad都是False, 我理解的是因为这是第一个包，不存在验证问题。

 

TCP

WireShark 分析 TCP 协议

TCP 三次握手

1. 三次握手示意图



2. 使用 WireShark 进行抓包

为了能够抓取到 TCP 三次握手建立连接的数据，我们可以通过 WireShark 在本地主机访问网页时开始抓取数据。抓取的数据量比较大，包括了此时段本地主机所有的通信数据包，为了方便我们的分析，我们可以使用 WireShark 的显示过滤规则来过滤掉不需要的数据而只显示本地主机与目标主机之间通信的数据包。

过滤规则如下：ip.src==源IP or ip.dst==目的IP

过滤结果如图所示：



3. 分析 TCP 三次握手

第一次 客户端发送 SYN 报文到服务器


第二次 服务器收到客户端的 SYN 报文，回复 SYN + ACK 报文


第三次，客户端接收到服务器的 SYN + ACK 报文后。回复ACK 报文


TCP 的四次挥手

1. 四次握手示意图



由于TCP连接是全双工的，因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动，一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。

TCP的连接的拆除需要发送四个包，因此称为四次挥手(four-way handshake)。客户端或服务器均可主动发起挥手动作，在socket编程中，任何一方执行close()操作即可产生挥手操作。

（1）客户端A发送一个FIN，用来关闭客户A到服务器B的数据传送。

（2）服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号。

（3）服务器B关闭与客户端A的连接，发送一个FIN给客户端A。

（4）客户端A发回ACK报文确认，并将确认序号设置为收到序号加1。

2. 分析数据包

第一次挥手 FIN + ACK


第二次挥手 ACK


 

第三次挥手 FIN + ACK


第四次挥手 ACK