摘要：

 利用wireshark分析TCP协议的报文，和其基本行为，包括三次握手，中间信息的交互，和最后的断开连接。其中通过中间信息的交互，可以看出TCP的累积式确认。

 

 

 
一：基本TCP报文分析
 

 
 
我们来看一个简单的TCP报文，现在蓝字选中的是源端口号，我们可以看到在这个报文中是14065，下面对应的是相应的二进制代码，我们可以看到的确是16bit。紧随其后的16bit就是目的端口号。
 下面是序号，Sequence number: 1169。接下来的32bit是确认号，Acknowledgement number: 19353。再后面是首部长度，Header length: 20 bytes，和未用的3bit数据。
 0= Urgent:Not set，1=Acknowledgement: set，0= Push:Not set，0= Reset:Not set，0= Syn:Not set，0= Fin:Not set，这些表示的是一些标识位，是URG紧急标识，ACK确认标识，PSH推送标识，RST、SYN、FIN用于建立和结束连接。window size value：65535 表示接收窗口。
 
 
 二：三次握手分析
 三次握手的第一步，客户机端会向服务器端发送一个特殊的TCP报文段，这个报文段的SYN被置为1，并会发送一个起始序号seq。
 
 

 
 
我们看到SYN为1，且Sequence number=0，这样，面对这样的请求报文段，服务器听该返回一个SYN=1，返回自己的初始seq，并且要求主机发送下一个报文段的序号，ack=1。下面是服务端实际返回的报文。
 
 

 
 

 
 
正如我们所期待的那样，服务器返回了自己的seq=0，并且要求主机端发送下一个报文段，并且SYN=1。这样主机端就应该返回seq=1，ack=1，要求服务端发送下一个报文，并且SYN=0，结束建立连接阶段，结束三次握手。
 

 
 

 
 
主机端返回了seqence number=1，acknowledgement number=1，SYN=10。这样三次握手就基本结束，开始真正的数据传送阶段。
 
 三：信息的交互
 建立了三次握手后，我们就开始利用这个链接来传送信息了。下面我们看看经过三次握手后的第四个TCP报文段。这是服务器返回来的报文段。
 
 

 
 

 
 
 我们惊奇的发现服务器返回了ack=554，即请求第554Byte的数据，而这553Bytes是什么时候发出去的呢，我们想到了在第三次握手的时候，客户端发送的TCP是能够携带数据的。怎么验证是否携带了553Bytes数据呢，我们想到了HTTP协议封装的报文，我我们来验证一下是否是553Bytes，打开HTTP协议如下。
 
 

 
 

 
 
我们看到，HTTP协议封装的报文，长度为Bytes in flight：553。表示已经发送了553Bytes，所以，服务器理应返回一个ack=554的确认，以表示接收到了553Bytes以前的数据，希望接受554bytes以及以后的数据。而上面的第四个报文也正是这么做的。
 服务端返回了ack=554之后，服务端没有继续停下，而是继续向客户端发送了两个报文段。我们来看下第五、六个报文段。
 
 

 
 
第五个报文段发送了seq=1，ack=554告诉服务端，请求你的554数据，我这是第一个数据，但此报文段里有1380bytes。发完后服务端又发送了第六个报文，如下。
 
 

 
 
服务端发送了seq=1381，ack=554，TCP segment data=1380 Bytes，Bytes in flight=2760。
 这表示：我请求第554Bytes，这是我的第1381 Bytes，报文段里一共有1380Bytes，一共传输了2760Bytes。
 这次以后，服务端就暂时歇会了，等待客户端的确认。客户端也确实返回了第七个报文段，如下。
 
 
seq=554，ack=2761.表示：这是我的第554Bytes，收到了前面的2760个Bytes，请求2761个bytes。这个报文之后，服务端会继续给客户端传送数据，这里就不一一列出了。
 我们看到其中服务端多次发送给客户端报文段，而客户端只返回了一个当前正确传输的最大字段，我们可以初步看出TCP是累积式确认的。
 
 
 四：断开连接
 断开连接时，要发送FIN=1，并且对方要回复ACK=1。我们来看下截取的报文段。
 
 
我们看到FIN=1。
 
 

 
 

 
 
返回了ACK=1，结束连接。
 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 

https://blog.csdn.net/ahafg/article/details/51039584
 
 
 
TCP：传输控制协议
 
　　TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。 
 　　面向连接： 面向连接意味着使用tcp的应用程序在传输数据前必须先建立连接，就如打电话一样，要先进行拨号，等待对方响应才能开始说话。 
 　　可靠性：tcp协议通过下列方式来提高可靠性： 
 
应用数据被分割成TCP认为最适合发送的数据块。这和UDP完全不同，应用程序产生的数据报长度将保持不变。由TCP传递给I P的信息单位称为报文段或段
当TCP发出一个段后，它启动一个定时器，等待目的端确认收到这个报文段。如果不能及时收到一个确认，将重发这个报文段。
当TCP收到发自TCP连接另一端的数据，它将发送一个确认。这个确认不是立即发送，通常将推迟几分之一秒。
TCP将保持它首部和数据的检验和。这是一个端到端的检验和，目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错，TCP将丢弃这个报文段和不确认收到此报文段（希望发端超时并重发）。
既然TCP报文段作为IP数据报来传输，而IP数据报的到达可能会失序，因此TCP报文段的到达也可能会失序。如果必要，TCP将对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。
既然I P数据报会发生重复，TCP的接收端必须丢弃重复的数据。
 
TCP还能提供流量控制。TCP连接的每一方都有固定大小的缓冲空间。TCP的接收端只允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机的缓冲 
 区溢出。
 
字节流：两个应用程序通过TCP连接交换8 bit字节构成的字节流。
 
　　另外，TCP对字节流的内容不作任何解释。TCP不知道传输的数据字节流是二进制数据，还是ASCII字符或者其他类型数据。对字节流的解释由TCP连接双方的应用层解释。
 
TCP首部格式
 
　　tcp数据是被封装在IP数据包中的，和udp类似，在IP数据包的数据部分。tcp数据包的格式如下： 
 　　 
 　　
 
　　源端口号和目的端口号与udp中类似，用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接，在网络编程中，一般一个IP地址和一个端口号组合称为一个套接字（socket）。 
 　　序号：用来标识从TCP发端向TCP收端发送的数据字节流，它表示在这个报文段中的的第一个数据字节。在tcp中tcp用序号对每个字节进行计数（这个值与发送的帧数没有关系，而是与发送的数据字节数有关系，后面会有说明）。 
 　　确认序号：包含发送确认的一端所期望收到的下一个序号。因此，确认序号应当是上次已成功收到数据字节序号加 1（不是单纯的序号加1，还包括数据字节数）。 
 　　首部长度：用于记录tcp数据报首部的长度，一般为20字节，实际值为首部长度除以4。 
 　　URG： 紧急指针（ urgent pointer）有效。 
 　　ACK： 确认序号有效。 
 　　PSH： 接收方应该尽快将这个报文段交给应用层。 
 　　RST： 重建连接。 
 　　SYN： 同步序号用来发起一个连接。 
 　　FIN： 发端完成发送任务。 
 　　窗口大小：用于流量控制。 
 　　检验和：检验和覆盖了整个的 TCP报文段： TCP首部和TCP数据，与udp相似需要计算伪首部。
 
Wireshark抓包分析TCP结构
 
　　利用wireshark抓取一个tcp数据包，查看其具体数据结构和实际的数据：
 
 
 
TCP连接的建立
 
　　利用TCP传输数据前，需要建立tcp连接，tcp连接的建立有3个主要过程，叫做3次握手，具体过程如下图所示： 
 　　 
 　 

过程： 
 　　 1. 首先客户端发送一个SYN包给服务器（SYN=1，Seq为主机选择的这个连接的初始序号），然后等待应答。 
 　　 2. 服务器端收到SYN包，回应给客户端一个ACK =x+1、SYN=1的TCP数据段(ACK表示确认序号有效，即收到上一个包，这里加1并不是ACK的值加1，ACK是一个标志位，这里会变成1，而x+1则是希望收到的下一个包的序列号，这个值放在包的确认序列号字段中，而只有ACK=1时，确认序列号才有效)。 
 　　 3. 客户必须再次回应服务器端一个ACK确认数据段（这里的Seq为x+1）。 
 　　 
　　 经过上面3个过程就建立了一个tcp连接，接着就可以发送数据了，因为建立连接使用了一个序列号x，所以发送数据的第一个字节序号为x+1。 
 　　 
 　　 注意：这里tcp为应用层提供全双工服务，意味数据能在两个方向上独立地进行传输，因此连接的每一段都有各自的传输数据序号（对应于上图中的x和y，这两个值是没有必然联系的）。 
 　　 
Wireshark抓包分析TCP3次握手
 
　　下面通过利用http应用层连接一个网络，实现tcp的3次握手和简单的数据交换过程，下面通过抓包来实际观察这个过程，首先我们先看看抓到的包： 
 　　
 
　　从第一行的tcp往下看，前面3个tcp包为3次握手的过程，接着http包说明成功建立连接，主机向服务器发送一个http应用请求，服务器收到请求后，返回一个tcp确认帧，接着发送一个http应答给主机，主机收到服务器的http应答数据后，又发送一个tcp确认帧，确认收到了数据。这样图中的前7个包实现了主机和服务器建立连接，并实现一次简单的数据请求应答过程。即下图所示的交互按键回显过程：
 
 
接下来是按照顺序的７个数据帧的数据结构。数据帧顺序分别为： 

　　1. 主机发起一个tcp连接请求（tcp）， 
 　　2. 服务器响应连接请求（tcp）， 
 　　3. 主机返回ACK完成3次握手成功建立连接（tcp）， 
 　　4. 主机发送一个http网页请求（http）， 
 　　5. 服务器收到请求返回一个ACK帧（tcp）， 
 　　6. 服务器根据请求发送数据到主机（http）， 
 　　7. 主机收到服务器数据返回一个ACK帧（tcp），具体帧细节见下图：
 
 
 
 
 
 
 
 
TCP连接的释放
 
　　当通信双方完成数据传输，需要进行TCP连接的释放，由于TCP连接是全双工的，因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动，一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。因为正常关闭过程需要发送4个TCP帧，因此这个过程也叫作4次挥手。具体过程如下图： 
 　　 
 　　
 

过程（默认客户端发起关闭）： 
 　　1. TCP客户端发送一个FIN，关闭客户端到服务器端的数据传送。（客户端不再发送报文给服务器端，但可接受服务器端报文） 
 　　2. 服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。 
 　　3.服务器关闭客户端的连接，发送一个FIN给客户端。（服务器端关闭到客户端的数据传送） 
 　　4.客户段发回ACK报文确认，并将确认序号设置为收到序号加1。
 
下面通过wireshark抓包了解具体的释放连接过程，通过断开一个连接，抓取到4个TCP帧，帧顺序依次为： 

　　1. 主动关闭放发送一个FIN帧给被动方 
 　　2. 被动方收到关闭信息返回一个确认ACK帧 
 　　3. 被动方发送一个FIN帧给主动方 
 　　4. 主动方收到被动方的FIN关闭信息返回一个ACK帧，连接释放
 
下面为按照顺序的帧数据结构详细信息：
 
 
 
 
 
TCP的最大报文段长度
 
　　上面介绍了TCP连接的建立和释放过程，下面介绍一下TCP的最大报文段长度。 
 　　最大报文段长度（MSS）表示TCP传往另一端的最大块数据的长度。当一个连接建立时，连接的双方都要通告各自的MSS。一般来说，MSS越大越好，因为报文段越大允许每个报文段传送的数据就越多，相对IP和TCP首部有更高的网络利用率。 
 　　MSS选项只能出现在SYN报文段中，所以只能在SYN=1的帧中才会有MSS选项说明报文的最大段长度。 
 具体参考： 
http://baike.baidu.com/link?url=c-fTckuehGMSiI5c2xCQDe3MUOKRwgdK6Q4CeO3tms8s6V3hIv5OmOQvUJvp67e90jUDAIjZfmhk8deiIjw1tK
 
其他
 
　　关于TCP的内容还有很多，这里不再详细说明，但是需要知道，TCP连接的建立和释放还有几种比较特殊的情况，同时打开（SYN）建立连接，同时关闭或半关闭来释放连接的情况都是存在的，还有一些TCP的可选字段，这里都不再讲了，具体可以参考：TCP/IP 详解卷1。

 

 
 

 
 

 
 
 
首先打开 http://www.baidu.com这个网址进行抓包。
 
首先在过滤器中输入 http过滤
 

 

 
 

 
 
 
找到 GET /* /HTTP/1.1
 


 

 
 

 
 

 
 

 
 
 
我们可以看到在出现了三条TCP记录之后才出现了HTTP这也更加相信HTTP是基于TCP协议的。
 
 
 
第一次TCP握手
 
客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图
 

 

 
 

 
 

 
 
 
第二次TCP握手
 
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(AcknowledgementNumber)设置为客户的I S N加1以.即0+1=1, 如下图
 

 

 
 

 
 

 
 
 
三次握手的数据包
 
客户端再次发送确认包(ACK)SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
 

 

 
 

 

一. 实验目的
 
通过本次实验，掌握使用Wireshark抓取TCP/IP协议数据包的技能，能够深入分析TCP帧格式及“TCP三次握手”。通过抓包和分析数据包来理解TCP/IP协议，进一步提高理论联系实践的能力。
 
二. 实验内容
 
1.本次实验重点：利用Wireshark抓TCP包及TCP包的分析。
 
2.本次实验难点：分析抓到的TCP包。
 
3.本次实验环境：Windows 7，Wireshark。
 
4.本次实验内容：
 
TCP协议是在计算机网络中使用最广泛的协议，很多的应用服务如FTP,HTTP,SMTP等在传输层都采用TCP协议，因此，如果要抓取TCP协议的数据包，可以在抓取相应的网络服务的数据包后，分析TCP协议数据包，深入理解协议封装，协议控制过程以及数据承载过程。两幅图分别是TCP帧格式及TCP三次握手。
 
 
 
 
 
三.实验过程
 
1. TCP包抓取及分析过程如下：
 
第一步，确定使用的协议，使用HTTP服务。选择http://www.sina.com.cn/作为目标地址。
 
第二步，启动抓包：点击【start】开始抓包，在浏览器地址栏输入http://www.sina.com.cn。
 
 
第三步，通过显示过滤器得到先关数据包：通过抓包获得大量的数据包，为了对数据包分析的方便，需要使用过滤器，添加本机IP地址和TCP协议过滤条件。
 
（1）打开命令提示符，通过ipconfig /all来查看本机IP地址。
 
 
（2）在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==196.168.100.131，过滤结果如下：
 
 
结果发现效果不是很好，于是将过滤条件中的IP地址更换为http://www.sina.com.cn的IP地址，操作过程如下：
 
（1）打开命令提示符，通过ping www.sina.com.cn来查看目标IP地址。
 
 
（2）打开命在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==218.30.66.248，过滤结果如下：
 
 
其中，红色框内即为一个三次握手过程：
 
 
第四步，分析TCP数据包，根据第一幅图中的数据帧格式，分析TCP包的各部分。
 
原端口/目的端口(16bit)。如下图所示，源端口为443，标识了发送进程；目的端口为3201，标识了接收方进程。
 
序列号(32bit)。如下图所示，发送序列号Sequence Number为0，标识从源端向目的端发送的数据字节流，它表示在这个报文端中的第一个数据字节的顺序号，序列号是32位的无符号类型，序号表达达到2^32 - 1后又从0开始， 当建立一个新的连接时，SYN标志为1，系列号将由主机随机选择一个顺序号ISN(Initial Sequence Number)。
 
确认号(32bit)。如下图所示，确认号Acknowledgment Number为1，包涵了发送确认一端所期望收到的下一个顺序号。因此确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。TCP为应用层提供全双工服务，这意味着数据能在两个方向上独立的进行传输，因此连接的两断必须要保证每个方向上的传输数据顺序。
 
偏移(4bit)。如下图所示，偏移32bytes，这里的偏移实际指的是TCP首部的长度Header length，它用来表明TCP首部中32bit字的数目，通过它可以知道一个TCP包它的用户数据从哪里开始。
 
保留位(6bit)。如下图所示，保留位Reserved未设置。
 
标志(6bit)。在TCP首部中有6个标志比特，他们中的多个可同时被置为1。如下图所示:
 
URG(Urgent Pointer Field Significant):紧急指针标志，用来保证TCP连接不被中断，并且督促中间设备尽快处理这些数据，图中其值为1。
 
ACK(Acknowledgement Field Signigicant)：确认号字段，该字段为1时表示应答字段有效，即TCP应答号将包含在TCP报文中，图中其值为1。
 
PSH(Push Function): 推送功能，所谓推送功能指的是接收端在接收到数据后立即推送给应用程序，而不是在缓冲区中排队，图中其值为0。
 
RST(Reset the connection): 重置连接，不过一搬表示断开一个连接，图中其值为0。
 
SYN(Synchronize sequence numbers):同步序列号，用来发起一个连接请求，图中其值为1。
 
FIN(No more data from sender)表示发送端发送任务已经完成（既断开连接）。
 
窗口大小(16bit)。 如下图所示，窗口大小Windows size value为29200，表示源主机最大能接收29200字节。
 
校验和(16bit)。如下图所示，校验和Checksum为0xc24f，包含TCP首部和TCP数据段，这是一个强制性的字段，一定是由发送端计算和存储，由接收端进行验证。
 
紧急指针(16bit)。如下图所示，URG标志为1，只有当URG标志置为1时该字段才有效，紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一段发送紧急数据的一种方式。
 
TCP选项。至少1个字节的可变长字段，标识哪个选项有效。Kind=0:选项表结束， Kind=1:无操作， Kind=2：最大报文段长度，Kind=3:窗口扩大因子， Kind=8:时间戳。如下图所示，Kind为2，代表最大报文长度MSS size。
 
数据部分。当前数据包的数据部分，如下图所示：
 
 
 
2. TCP三次握手：
 
第一次握手数据包：客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接，如下图所示（第一条）：
 
 
第二次握手的数据包：服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1，如下图所示（第二条）：
 
 
第三次握手的数据包：客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方。在进过三次握手后和服务器建立了TCP连接，如下图所示（第三条）：