wireshark数据包详细栏每个字段对应的分层。

1、分层介绍

1.1、数据链路层

我们点开这个字段，从该字段中可以看到相邻两个设备的MAC地址

1.2、网络层

本层主要负责将TCP层传输下来的数据加上目标地址和源地址。

1.3、传输层

这一层用到了TCP协议

tcp包头

每个字段对应的TCP包头

2、TCP握手过程分析

TCP三次握手示意图

第一次握手：客户端向服务器发送一个SYN段(表示发起连接请求)，并且包含客户端的一个初始序列号seq=0

第二次握手：服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求)，并且包含服务端的一个初始序列号seq=0，同时返回一个确认号ack=1

第三次握手：客户端给服务端返回一个ACK(对服务端连接请求的应答)，并更新自己的序列号seq=1，返回一个确认号ack=1

Wireshark分析握手过程

这是我发起连接请求后抓到的数据包

第一次握手：

可以看到，客户端发起一个SYN请求，初始序列号为0

 

 第二次握手

服务端返回SYN+ACK，并且包含服务端的一个初始序列号seq=0，同时返回一个确认号ack=1

 

 第三次握手

客户端返回一个ACK，并且返回一个确认号ack=1，并且将自己的序列号seq更新为1

 到此，TCP三次握手就结束了。客户端与服务端之间已经成功建立起连接。

3、TCP数据传输过程分析

        我们常说TCP是可靠性的传输协议，那么它是如何实现可靠性的数据传输呢，就是通过序列号和确认应答提高可靠性。

        我们从客户端往服务端发送了两次数据，第一次发送了一个字符串"hello"，第二次发送了一个字符串"word"。首先客户端发送“hello”时，初始序列号seq为1，服务端接收到数据后，会给一个应答，表示我已经收到了消息，并且这个应答号ack = seq + “接收到的数据长度”，客户端再继续发送时，序列号更新为服务端的应答号的值。

        下面我们就抓包看下这个过程。

        客户端分别向服务器发送了两次消息，第一次发送了一个字符串“hello”，第二次发送了字符串"word"。

        我先从客户端往服务器发送一个字符串 "hello"，我们可以看下，大小为6个字节。

        可以看下初始序列号seq为1

         然后看下服务器返回了什么，服务器作了一个应答ack=7，表示接受到了客户端的信息

再看下第二次发送字符串"word"的情况，序列号seq更新为上一次服务端的应答号ack，变为7

 看下服务端的应答，确认号ack为12

 4、TCP四次挥手分析

        TCP四次挥手示意图

 第一次挥手：客户端发起一个FIN，表示客户端希望断开连接。

 第二次挥手：服务端返回一个ACK，表示对客户端断开请求的应答。

 第三次挥手：服务端发起一个FIN，表示服务端希望断开连接。

 第四次挥手：客户端返回一个ACK，表示对服务端断开请求的应答。

         理论上挥手是需要四次的，但抓包分析时，只抓到了三次挥手过程，第二次握手和第三次握手合并为一次了。

 第一次挥手

        客户端发起一个FIN请求(表示客户端希望断开连接)，序列号seq=12，应答号ack=23。注意这里的应答是上一次数据通信过程中的应答。

第二次，第三次挥手

        服务端返回一个ACK(表示对客户端断开请求的应答) + FIN(表示服务端希望发起断开请求)，应答号ack=13，序列号seq=23

 第四次挥手

         客户端返回一个ACK(表示对服务端断开请求的应答)，应答号ack=24，序列号seq=13

一. 实验目的

通过本次实验，掌握使用Wireshark抓取TCP/IP协议数据包的技能，能够深入分析TCP帧格式及“TCP三次握手”。通过抓包和分析数据包来理解TCP/IP协议，进一步提高理论联系实践的能力。

二. 实验内容

1.本次实验重点：利用Wireshark抓TCP包及TCP包的分析。

2.本次实验难点：分析抓到的TCP包。

3.本次实验环境：Windows 7，Wireshark。

4.本次实验内容：

TCP协议是在计算机网络中使用最广泛的协议，很多的应用服务如FTP,HTTP,SMTP等在传输层都采用TCP协议，因此，如果要抓取TCP协议的数据包，可以在抓取相应的网络服务的数据包后，分析TCP协议数据包，深入理解协议封装，协议控制过程以及数据承载过程。两幅图分别是TCP帧格式及TCP三次握手。

三.实验过程

1. TCP包抓取及分析过程如下：

第一步，确定使用的协议，使用HTTP服务。选择http://www.sina.com.cn/作为目标地址。

第二步，启动抓包：点击【start】开始抓包，在浏览器地址栏输入http://www.sina.com.cn。

第三步，通过显示过滤器得到先关数据包：通过抓包获得大量的数据包，为了对数据包分析的方便，需要使用过滤器，添加本机IP地址和TCP协议过滤条件。

（1）打开命令提示符，通过ipconfig /all来查看本机IP地址。

（2）在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==196.168.100.131，过滤结果如下：

结果发现效果不是很好，于是将过滤条件中的IP地址更换为http://www.sina.com.cn的IP地址，操作过程如下：

（1）打开命令提示符，通过ping www.sina.com.cn来查看目标IP地址。

（2）打开命在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==218.30.66.248，过滤结果如下：

其中，红色框内即为一个三次握手过程：

第四步，分析TCP数据包，根据第一幅图中的数据帧格式，分析TCP包的各部分。

• 原端口/目的端口(16bit)。如下图所示，源端口为443，标识了发送进程；目的端口为3201，标识了接收方进程。

• 序列号(32bit)。如下图所示，发送序列号Sequence Number为0，标识从源端向目的端发送的数据字节流，它表示在这个报文端中的第一个数据字节的顺序号，序列号是32位的无符号类型，序号表达达到2^32 - 1后又从0开始， 当建立一个新的连接时，SYN标志为1，系列号将由主机随机选择一个顺序号ISN(Initial Sequence Number)。

• 确认号(32bit)。如下图所示，确认号Acknowledgment Number为1，包涵了发送确认一端所期望收到的下一个顺序号。因此确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。TCP为应用层提供全双工服务，这意味着数据能在两个方向上独立的进行传输，因此连接的两断必须要保证每个方向上的传输数据顺序。

• 偏移(4bit)。如下图所示，偏移32bytes，这里的偏移实际指的是TCP首部的长度Header length，它用来表明TCP首部中32bit字的数目，通过它可以知道一个TCP包它的用户数据从哪里开始。

• 保留位(6bit)。如下图所示，保留位Reserved未设置。

• 标志(6bit)。在TCP首部中有6个标志比特，他们中的多个可同时被置为1。如下图所示:

URG(Urgent Pointer Field Significant):紧急指针标志，用来保证TCP连接不被中断，并且督促中间设备尽快处理这些数据，图中其值为1。

ACK(Acknowledgement Field Signigicant)：确认号字段，该字段为1时表示应答字段有效，即TCP应答号将包含在TCP报文中，图中其值为1。

PSH(Push Function): 推送功能，所谓推送功能指的是接收端在接收到数据后立即推送给应用程序，而不是在缓冲区中排队，图中其值为0。

RST(Reset the connection): 重置连接，不过一搬表示断开一个连接，图中其值为0。

SYN(Synchronize sequence numbers):同步序列号，用来发起一个连接请求，图中其值为1。

FIN(No more data from sender)表示发送端发送任务已经完成（既断开连接）。

• 窗口大小(16bit)。 如下图所示，窗口大小Windows size value为29200，表示源主机最大能接收29200字节。

• 校验和(16bit)。如下图所示，校验和Checksum为0xc24f，包含TCP首部和TCP数据段，这是一个强制性的字段，一定是由发送端计算和存储，由接收端进行验证。

• 紧急指针(16bit)。如下图所示，URG标志为1，只有当URG标志置为1时该字段才有效，紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一段发送紧急数据的一种方式。

• TCP选项。至少1个字节的可变长字段，标识哪个选项有效。Kind=0:选项表结束， Kind=1:无操作， Kind=2：最大报文段长度，Kind=3:窗口扩大因子， Kind=8:时间戳。如下图所示，Kind为2，代表最大报文长度MSS size。

• 数据部分。当前数据包的数据部分，如下图所示：

2. TCP三次握手：

第一次握手数据包：客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接，如下图所示（第一条）：

第二次握手的数据包：服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1，如下图所示（第二条）：

第三次握手的数据包：客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方。在进过三次握手后和服务器建立了TCP连接，如下图所示（第三条）：

https://blog.csdn.net/ahafg/article/details/51039584

 

TCP：传输控制协议

　　TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。 
　　面向连接： 面向连接意味着使用tcp的应用程序在传输数据前必须先建立连接，就如打电话一样，要先进行拨号，等待对方响应才能开始说话。 
　　可靠性：tcp协议通过下列方式来提高可靠性： 

• 应用数据被分割成TCP认为最适合发送的数据块。这和UDP完全不同，应用程序产生的数据报长度将保持不变。由TCP传递给I P的信息单位称为报文段或段
• 当TCP发出一个段后，它启动一个定时器，等待目的端确认收到这个报文段。如果不能及时收到一个确认，将重发这个报文段。
• 当TCP收到发自TCP连接另一端的数据，它将发送一个确认。这个确认不是立即发送，通常将推迟几分之一秒。
• TCP将保持它首部和数据的检验和。这是一个端到端的检验和，目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错，TCP将丢弃这个报文段和不确认收到此报文段（希望发端超时并重发）。
• 既然TCP报文段作为IP数据报来传输，而IP数据报的到达可能会失序，因此TCP报文段的到达也可能会失序。如果必要，TCP将对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。
• 既然I P数据报会发生重复，TCP的接收端必须丢弃重复的数据。

• TCP还能提供流量控制。TCP连接的每一方都有固定大小的缓冲空间。TCP的接收端只允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机的缓冲 
  区溢出。

  字节流：两个应用程序通过TCP连接交换8 bit字节构成的字节流。

  　　另外，TCP对字节流的内容不作任何解释。TCP不知道传输的数据字节流是二进制数据，还是ASCII字符或者其他类型数据。对字节流的解释由TCP连接双方的应用层解释。

TCP首部格式

　　tcp数据是被封装在IP数据包中的，和udp类似，在IP数据包的数据部分。tcp数据包的格式如下： 
　　 
　　

　　源端口号和目的端口号与udp中类似，用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接，在网络编程中，一般一个IP地址和一个端口号组合称为一个套接字（socket）。 
　　序号：用来标识从TCP发端向TCP收端发送的数据字节流，它表示在这个报文段中的的第一个数据字节。在tcp中tcp用序号对每个字节进行计数（这个值与发送的帧数没有关系，而是与发送的数据字节数有关系，后面会有说明）。 
　　确认序号：包含发送确认的一端所期望收到的下一个序号。因此，确认序号应当是上次已成功收到数据字节序号加 1（不是单纯的序号加1，还包括数据字节数）。 
　　首部长度：用于记录tcp数据报首部的长度，一般为20字节，实际值为首部长度除以4。 
　　URG： 紧急指针（ urgent pointer）有效。 
　　ACK： 确认序号有效。 
　　PSH： 接收方应该尽快将这个报文段交给应用层。 
　　RST： 重建连接。 
　　SYN： 同步序号用来发起一个连接。 
　　FIN： 发端完成发送任务。 
　　窗口大小：用于流量控制。 
　　检验和：检验和覆盖了整个的 TCP报文段： TCP首部和TCP数据，与udp相似需要计算伪首部。

Wireshark抓包分析TCP结构

　　利用wireshark抓取一个tcp数据包，查看其具体数据结构和实际的数据：

TCP连接的建立

　　利用TCP传输数据前，需要建立tcp连接，tcp连接的建立有3个主要过程，叫做3次握手，具体过程如下图所示： 
　　 
　 

过程： 
　　 1. 首先客户端发送一个SYN包给服务器（SYN=1，Seq为主机选择的这个连接的初始序号），然后等待应答。 
　　 2. 服务器端收到SYN包，回应给客户端一个ACK =x+1、SYN=1的TCP数据段(ACK表示确认序号有效，即收到上一个包，这里加1并不是ACK的值加1，ACK是一个标志位，这里会变成1，而x+1则是希望收到的下一个包的序列号，这个值放在包的确认序列号字段中，而只有ACK=1时，确认序列号才有效)。 
　　 3. 客户必须再次回应服务器端一个ACK确认数据段（这里的Seq为x+1）。 
　　 
　　 经过上面3个过程就建立了一个tcp连接，接着就可以发送数据了，因为建立连接使用了一个序列号x，所以发送数据的第一个字节序号为x+1。 
　　 
　　 注意：这里tcp为应用层提供全双工服务，意味数据能在两个方向上独立地进行传输，因此连接的每一段都有各自的传输数据序号（对应于上图中的x和y，这两个值是没有必然联系的）。 
　　 
Wireshark抓包分析TCP3次握手

　　下面通过利用http应用层连接一个网络，实现tcp的3次握手和简单的数据交换过程，下面通过抓包来实际观察这个过程，首先我们先看看抓到的包： 
　　

　　从第一行的tcp往下看，前面3个tcp包为3次握手的过程，接着http包说明成功建立连接，主机向服务器发送一个http应用请求，服务器收到请求后，返回一个tcp确认帧，接着发送一个http应答给主机，主机收到服务器的http应答数据后，又发送一个tcp确认帧，确认收到了数据。这样图中的前7个包实现了主机和服务器建立连接，并实现一次简单的数据请求应答过程。即下图所示的交互按键回显过程：

接下来是按照顺序的７个数据帧的数据结构。数据帧顺序分别为： 

　　1. 主机发起一个tcp连接请求（tcp）， 
　　2. 服务器响应连接请求（tcp）， 
　　3. 主机返回ACK完成3次握手成功建立连接（tcp）， 
　　4. 主机发送一个http网页请求（http）， 
　　5. 服务器收到请求返回一个ACK帧（tcp）， 
　　6. 服务器根据请求发送数据到主机（http）， 
　　7. 主机收到服务器数据返回一个ACK帧（tcp），具体帧细节见下图：

TCP连接的释放

　　当通信双方完成数据传输，需要进行TCP连接的释放，由于TCP连接是全双工的，因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动，一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。因为正常关闭过程需要发送4个TCP帧，因此这个过程也叫作4次挥手。具体过程如下图： 
　　 
　　

过程（默认客户端发起关闭）： 
　　1. TCP客户端发送一个FIN，关闭客户端到服务器端的数据传送。（客户端不再发送报文给服务器端，但可接受服务器端报文） 
　　2. 服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。 
　　3.服务器关闭客户端的连接，发送一个FIN给客户端。（服务器端关闭到客户端的数据传送） 
　　4.客户段发回ACK报文确认，并将确认序号设置为收到序号加1。

下面通过wireshark抓包了解具体的释放连接过程，通过断开一个连接，抓取到4个TCP帧，帧顺序依次为： 

　　1. 主动关闭放发送一个FIN帧给被动方 
　　2. 被动方收到关闭信息返回一个确认ACK帧 
　　3. 被动方发送一个FIN帧给主动方 
　　4. 主动方收到被动方的FIN关闭信息返回一个ACK帧，连接释放

下面为按照顺序的帧数据结构详细信息：

TCP的最大报文段长度

　　上面介绍了TCP连接的建立和释放过程，下面介绍一下TCP的最大报文段长度。 
　　最大报文段长度（MSS）表示TCP传往另一端的最大块数据的长度。当一个连接建立时，连接的双方都要通告各自的MSS。一般来说，MSS越大越好，因为报文段越大允许每个报文段传送的数据就越多，相对IP和TCP首部有更高的网络利用率。 
　　MSS选项只能出现在SYN报文段中，所以只能在SYN=1的帧中才会有MSS选项说明报文的最大段长度。 
具体参考： 
http://baike.baidu.com/link?url=c-fTckuehGMSiI5c2xCQDe3MUOKRwgdK6Q4CeO3tms8s6V3hIv5OmOQvUJvp67e90jUDAIjZfmhk8deiIjw1tK

其他

　　关于TCP的内容还有很多，这里不再详细说明，但是需要知道，TCP连接的建立和释放还有几种比较特殊的情况，同时打开（SYN）建立连接，同时关闭或半关闭来释放连接的情况都是存在的，还有一些TCP的可选字段，这里都不再讲了，具体可以参考：TCP/IP 详解卷1。