前期准备：

• IntelliJ IDEA 2021.1.3 (Ultimate Edition) Build #IU-211.7628.21, built on June 30, 2021
• JDK 1.8或以上版本
• WireShark网络协议解析器 Version 2.4.13 (v2.4.13-0-gf2c6a94a3f)
• 查询本地回环的工具RawCap

分析过程：

1、对TCP协议进行分析

（1）利用java编写TCP服务端和客户端（略）

（2）打开抓包软件

       Wireshark虽然可以抓任何协议的包，但当你测试一个本机的socket程序，发送/接收到本地端口的时候，却无法抓取本地回环数据。这个时候需要借助一个工具RawCap进行本地环路的抓包

注意，抓包软件和RawCap.exe要放在一个目录下

打开cmd，进入到抓包工具所在目录，输入

RawCap.exe 本地IP  TCPfile.pcap

即可运行RawCap抓包程序，此时不要按Ctrl+C或终止程序，之后进行后续操作

（3）进行调试，打开客户端和服务端，客户端发送消息，服务端就会接收到消息

服务端：接收到客户端发来的消息并响应

客户端：发送消息后收到响应

（4）上述步骤完成后，切换到cmd界面，此时我们看到packets的数量发生变化，此时我们按Ctrl+C终止程序（不要点右上角×号），在工具目录下就会生成一个TCPdump.pcap文件，我们用WireShark打开这个文件

打开之后如图所示
这就是所有在127.0.0.1的通讯数据

（5）但这里我们要找TCP协议的通讯，所以使用过滤器 tcp.stream eq 8，之后显示TCP通讯的数据，或者随便找一个TCP流，右键“追踪流”–“追踪TCP流”，一个流一个流的查找即可，这里显示过滤后和追踪的结果

过滤后结果

追踪后结果
注：若数据流有中文，则将“显示和保存数据为”那一栏改为utf-8，不然无法显示中文数据，在这里我们看到客户端发送的消息是蓝色背景，服务端发送的消息是红色背景，点击可查看对应信息的数据流情况。

（6）对数据流进行分析

看前三条数据流，代表着TCP的三次握手

TCP三次握手：
（1）第一次握手：建立连接时，客户端A发送SYN包（SYN=j）到服务器B，并进入SYN_SEND状态，等待服务器B确认。
（2）第二次握手：服务器B收到SYN包，必须确认客户A的SYN（ACK=j+1），同时自己也发送一个SYN包（SYN=k），即SYN+ACK包，此时服务器B进入SYN_RECV状态。
（3）第三次握手：客户端A收到服务器B的SYN＋ACK包，向服务器B发送确认包ACK（ACK=k+1），此包发送完毕，客户端A和服务器B进入ESTABLISHED状态，完成三次握手。

直接双击一条服务器端的数据流进行分析
分析情况见下图

可以看到使用ipv4协议，版本号为4
TTL为128，通讯协议为TCP
IP头长度为20
源地址和目的地址ip:127.0.0.1
信息总长度40，源端口5000（服务端），目的地端口49848（客户端）

再点击一条客户端的数据流进行分析

可以看到使用ipv4协议，版本号为4
TTL为128，通讯协议为TCP
IP头长度为20
源地址和目的地址ip:127.0.0.1
信息总长度70，源端口49898（客户端），目的地端口5000（服务端）

2、对UDP协议进行分析

（1）（2）步与上面差不多大致相同，输出的文件改成UDPdump.pcap即可

（3）进行调试，打开客户端和服务端，客户端发送消息，服务端就会接收到消息

客户端：发送消息后收到响应，统计发送的次数


服务端：接收到客户端发来的消息，并显示发送的数据

（4）上述步骤完成后，同样切换到cmd界面，此时我们看到packets的数量发生变化，此时我们按Ctrl+C终止程序（不要点右上角×号），在工具目录下就会生成一个UDPdump.pcap文件，我们用WireShark打开

（5）但这里我们要找UDP协议的通讯，所以使用过滤器 udp.stream eq 0，之后显示UDP通讯的数据，或者随便找一个TCP流，右键“追踪流”–“追踪TCP流”，一个流一个流的查找即可，这里显示过滤后和追踪的结果

过滤后结果

追踪后结果
注：若数据流有中文，则将“显示和保存数据为”那一栏改为utf-8，不然无法显示中文数据，在这里我们看到客户端发送的消息是蓝色背景，服务端发送的消息是红色背景，点击可查看对应信息的数据流情况。

（6）对数据流进行分析

直接双击一条服务器端的数据流进行分析
分析情况见下图

可以看到使用ipv4协议，版本号为4
可以看到使用ipv4协议，版本号为4
TTL为128，通讯协议为UDP
IP头长度为20
源地址和目的地址ip:127.0.0.1
信息总长度49，源端口5000（服务端），目的地端口10000（客户端），数据长度21

再点击一条客户端的数据流进行分析

可以看到使用ipv4协议，版本号为4
TTL为128，通讯协议为UDP
IP头长度为20
源地址和目的地址ip:127.0.0.1
信息长度44，源端口10000（客户端），目的地端口5000（服务端），数据长度16

一. 实验目的

通过本次实验，掌握使用Wireshark抓取TCP/IP协议数据包的技能，能够深入分析TCP帧格式及“TCP三次握手”。通过抓包和分析数据包来理解TCP/IP协议，进一步提高理论联系实践的能力。

二. 实验内容

1.本次实验重点：利用Wireshark抓TCP包及TCP包的分析。

2.本次实验难点：分析抓到的TCP包。

3.本次实验环境：Windows 7，Wireshark。

4.本次实验内容：

TCP协议是在计算机网络中使用最广泛的协议，很多的应用服务如FTP,HTTP,SMTP等在传输层都采用TCP协议，因此，如果要抓取TCP协议的数据包，可以在抓取相应的网络服务的数据包后，分析TCP协议数据包，深入理解协议封装，协议控制过程以及数据承载过程。两幅图分别是TCP帧格式及TCP三次握手。

三.实验过程

1. TCP包抓取及分析过程如下：

第一步，确定使用的协议，使用HTTP服务。选择http://www.sina.com.cn/作为目标地址。

第二步，启动抓包：点击【start】开始抓包，在浏览器地址栏输入http://www.sina.com.cn。

第三步，通过显示过滤器得到先关数据包：通过抓包获得大量的数据包，为了对数据包分析的方便，需要使用过滤器，添加本机IP地址和TCP协议过滤条件。

（1）打开命令提示符，通过ipconfig /all来查看本机IP地址。

（2）在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==196.168.100.131，过滤结果如下：

结果发现效果不是很好，于是将过滤条件中的IP地址更换为http://www.sina.com.cn的IP地址，操作过程如下：

（1）打开命令提示符，通过ping www.sina.com.cn来查看目标IP地址。

（2）打开命在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==218.30.66.248，过滤结果如下：

其中，红色框内即为一个三次握手过程：

第四步，分析TCP数据包，根据第一幅图中的数据帧格式，分析TCP包的各部分。

• 原端口/目的端口(16bit)。如下图所示，源端口为443，标识了发送进程；目的端口为3201，标识了接收方进程。

• 序列号(32bit)。如下图所示，发送序列号Sequence Number为0，标识从源端向目的端发送的数据字节流，它表示在这个报文端中的第一个数据字节的顺序号，序列号是32位的无符号类型，序号表达达到2^32 - 1后又从0开始， 当建立一个新的连接时，SYN标志为1，系列号将由主机随机选择一个顺序号ISN(Initial Sequence Number)。

• 确认号(32bit)。如下图所示，确认号Acknowledgment Number为1，包涵了发送确认一端所期望收到的下一个顺序号。因此确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。TCP为应用层提供全双工服务，这意味着数据能在两个方向上独立的进行传输，因此连接的两断必须要保证每个方向上的传输数据顺序。

• 偏移(4bit)。如下图所示，偏移32bytes，这里的偏移实际指的是TCP首部的长度Header length，它用来表明TCP首部中32bit字的数目，通过它可以知道一个TCP包它的用户数据从哪里开始。

• 保留位(6bit)。如下图所示，保留位Reserved未设置。

• 标志(6bit)。在TCP首部中有6个标志比特，他们中的多个可同时被置为1。如下图所示:

URG(Urgent Pointer Field Significant):紧急指针标志，用来保证TCP连接不被中断，并且督促中间设备尽快处理这些数据，图中其值为1。

ACK(Acknowledgement Field Signigicant)：确认号字段，该字段为1时表示应答字段有效，即TCP应答号将包含在TCP报文中，图中其值为1。

PSH(Push Function): 推送功能，所谓推送功能指的是接收端在接收到数据后立即推送给应用程序，而不是在缓冲区中排队，图中其值为0。

RST(Reset the connection): 重置连接，不过一搬表示断开一个连接，图中其值为0。

SYN(Synchronize sequence numbers):同步序列号，用来发起一个连接请求，图中其值为1。

FIN(No more data from sender)表示发送端发送任务已经完成（既断开连接）。

• 窗口大小(16bit)。 如下图所示，窗口大小Windows size value为29200，表示源主机最大能接收29200字节。

• 校验和(16bit)。如下图所示，校验和Checksum为0xc24f，包含TCP首部和TCP数据段，这是一个强制性的字段，一定是由发送端计算和存储，由接收端进行验证。

• 紧急指针(16bit)。如下图所示，URG标志为1，只有当URG标志置为1时该字段才有效，紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一段发送紧急数据的一种方式。

• TCP选项。至少1个字节的可变长字段，标识哪个选项有效。Kind=0:选项表结束， Kind=1:无操作， Kind=2：最大报文段长度，Kind=3:窗口扩大因子， Kind=8:时间戳。如下图所示，Kind为2，代表最大报文长度MSS size。

• 数据部分。当前数据包的数据部分，如下图所示：

2. TCP三次握手：

第一次握手数据包：客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接，如下图所示（第一条）：

第二次握手的数据包：服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1，如下图所示（第二条）：

第三次握手的数据包：客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方。在进过三次握手后和服务器建立了TCP连接，如下图所示（第三条）：

https://blog.csdn.net/ahafg/article/details/51039584

TCP：传输控制协议

　　TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。 
　　面向连接： 面向连接意味着使用tcp的应用程序在传输数据前必须先建立连接，就如打电话一样，要先进行拨号，等待对方响应才能开始说话。 
　　可靠性：tcp协议通过下列方式来提高可靠性： 

• 应用数据被分割成TCP认为最适合发送的数据块。这和UDP完全不同，应用程序产生的数据报长度将保持不变。由TCP传递给I P的信息单位称为报文段或段
• 当TCP发出一个段后，它启动一个定时器，等待目的端确认收到这个报文段。如果不能及时收到一个确认，将重发这个报文段。
• 当TCP收到发自TCP连接另一端的数据，它将发送一个确认。这个确认不是立即发送，通常将推迟几分之一秒。
• TCP将保持它首部和数据的检验和。这是一个端到端的检验和，目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错，TCP将丢弃这个报文段和不确认收到此报文段（希望发端超时并重发）。
• 既然TCP报文段作为IP数据报来传输，而IP数据报的到达可能会失序，因此TCP报文段的到达也可能会失序。如果必要，TCP将对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。
• 既然I P数据报会发生重复，TCP的接收端必须丢弃重复的数据。

• TCP还能提供流量控制。TCP连接的每一方都有固定大小的缓冲空间。TCP的接收端只允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机的缓冲 
  区溢出。

  字节流：两个应用程序通过TCP连接交换8 bit字节构成的字节流。

  　　另外，TCP对字节流的内容不作任何解释。TCP不知道传输的数据字节流是二进制数据，还是ASCII字符或者其他类型数据。对字节流的解释由TCP连接双方的应用层解释。

TCP首部格式

　　tcp数据是被封装在IP数据包中的，和udp类似，在IP数据包的数据部分。tcp数据包的格式如下： 
　　 
　　

　　源端口号和目的端口号与udp中类似，用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接，在网络编程中，一般一个IP地址和一个端口号组合称为一个套接字（socket）。 
　　序号：用来标识从TCP发端向TCP收端发送的数据字节流，它表示在这个报文段中的的第一个数据字节。在tcp中tcp用序号对每个字节进行计数（这个值与发送的帧数没有关系，而是与发送的数据字节数有关系，后面会有说明）。 
　　确认序号：包含发送确认的一端所期望收到的下一个序号。因此，确认序号应当是上次已成功收到数据字节序号加 1（不是单纯的序号加1，还包括数据字节数）。 
　　首部长度：用于记录tcp数据报首部的长度，一般为20字节，实际值为首部长度除以4。 
　　URG： 紧急指针（ urgent pointer）有效。 
　　ACK： 确认序号有效。 
　　PSH： 接收方应该尽快将这个报文段交给应用层。 
　　RST： 重建连接。 
　　SYN： 同步序号用来发起一个连接。 
　　FIN： 发端完成发送任务。 
　　窗口大小：用于流量控制。 
　　检验和：检验和覆盖了整个的 TCP报文段： TCP首部和TCP数据，与udp相似需要计算伪首部。

Wireshark抓包分析TCP结构

　　利用wireshark抓取一个tcp数据包，查看其具体数据结构和实际的数据：

TCP连接的建立

　　利用TCP传输数据前，需要建立tcp连接，tcp连接的建立有3个主要过程，叫做3次握手，具体过程如下图所示： 
　　 
　 

过程： 
　　 1. 首先客户端发送一个SYN包给服务器（SYN=1，Seq为主机选择的这个连接的初始序号），然后等待应答。 
　　 2. 服务器端收到SYN包，回应给客户端一个ACK =x+1、SYN=1的TCP数据段(ACK表示确认序号有效，即收到上一个包，这里加1并不是ACK的值加1，ACK是一个标志位，这里会变成1，而x+1则是希望收到的下一个包的序列号，这个值放在包的确认序列号字段中，而只有ACK=1时，确认序列号才有效)。 
　　 3. 客户必须再次回应服务器端一个ACK确认数据段（这里的Seq为x+1）。 
　　 
　　 经过上面3个过程就建立了一个tcp连接，接着就可以发送数据了，因为建立连接使用了一个序列号x，所以发送数据的第一个字节序号为x+1。 
　　 
　　 注意：这里tcp为应用层提供全双工服务，意味数据能在两个方向上独立地进行传输，因此连接的每一段都有各自的传输数据序号（对应于上图中的x和y，这两个值是没有必然联系的）。 
　　 
Wireshark抓包分析TCP3次握手

　　下面通过利用http应用层连接一个网络，实现tcp的3次握手和简单的数据交换过程，下面通过抓包来实际观察这个过程，首先我们先看看抓到的包： 
　　

　　从第一行的tcp往下看，前面3个tcp包为3次握手的过程，接着http包说明成功建立连接，主机向服务器发送一个http应用请求，服务器收到请求后，返回一个tcp确认帧，接着发送一个http应答给主机，主机收到服务器的http应答数据后，又发送一个tcp确认帧，确认收到了数据。这样图中的前7个包实现了主机和服务器建立连接，并实现一次简单的数据请求应答过程。即下图所示的交互按键回显过程：

接下来是按照顺序的７个数据帧的数据结构。数据帧顺序分别为： 

　　1. 主机发起一个tcp连接请求（tcp）， 
　　2. 服务器响应连接请求（tcp）， 
　　3. 主机返回ACK完成3次握手成功建立连接（tcp）， 
　　4. 主机发送一个http网页请求（http）， 
　　5. 服务器收到请求返回一个ACK帧（tcp）， 
　　6. 服务器根据请求发送数据到主机（http）， 
　　7. 主机收到服务器数据返回一个ACK帧（tcp），具体帧细节见下图：

TCP连接的释放

　　当通信双方完成数据传输，需要进行TCP连接的释放，由于TCP连接是全双工的，因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动，一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。因为正常关闭过程需要发送4个TCP帧，因此这个过程也叫作4次挥手。具体过程如下图： 
　　 
　　

过程（默认客户端发起关闭）： 
　　1. TCP客户端发送一个FIN，关闭客户端到服务器端的数据传送。（客户端不再发送报文给服务器端，但可接受服务器端报文） 
　　2. 服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。 
　　3.服务器关闭客户端的连接，发送一个FIN给客户端。（服务器端关闭到客户端的数据传送） 
　　4.客户段发回ACK报文确认，并将确认序号设置为收到序号加1。

下面通过wireshark抓包了解具体的释放连接过程，通过断开一个连接，抓取到4个TCP帧，帧顺序依次为： 

　　1. 主动关闭放发送一个FIN帧给被动方 
　　2. 被动方收到关闭信息返回一个确认ACK帧 
　　3. 被动方发送一个FIN帧给主动方 
　　4. 主动方收到被动方的FIN关闭信息返回一个ACK帧，连接释放

下面为按照顺序的帧数据结构详细信息：

TCP的最大报文段长度

　　上面介绍了TCP连接的建立和释放过程，下面介绍一下TCP的最大报文段长度。 
　　最大报文段长度（MSS）表示TCP传往另一端的最大块数据的长度。当一个连接建立时，连接的双方都要通告各自的MSS。一般来说，MSS越大越好，因为报文段越大允许每个报文段传送的数据就越多，相对IP和TCP首部有更高的网络利用率。 
　　MSS选项只能出现在SYN报文段中，所以只能在SYN=1的帧中才会有MSS选项说明报文的最大段长度。 
具体参考： 
http://baike.baidu.com/link?url=c-fTckuehGMSiI5c2xCQDe3MUOKRwgdK6Q4CeO3tms8s6V3hIv5OmOQvUJvp67e90jUDAIjZfmhk8deiIjw1tK

其他

　　关于TCP的内容还有很多，这里不再详细说明，但是需要知道，TCP连接的建立和释放还有几种比较特殊的情况，同时打开（SYN）建立连接，同时关闭或半关闭来释放连接的情况都是存在的，还有一些TCP的可选字段，这里都不再讲了，具体可以参考：TCP/IP 详解卷1。