wireshark数据包详细栏每个字段对应的分层。

1、分层介绍

1.1、数据链路层

我们点开这个字段，从该字段中可以看到相邻两个设备的MAC地址

1.2、网络层

本层主要负责将TCP层传输下来的数据加上目标地址和源地址。

1.3、传输层

这一层用到了TCP协议

tcp包头

每个字段对应的TCP包头

2、TCP握手过程分析

TCP三次握手示意图

第一次握手：客户端向服务器发送一个SYN段(表示发起连接请求)，并且包含客户端的一个初始序列号seq=0

第二次握手：服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求)，并且包含服务端的一个初始序列号seq=0，同时返回一个确认号ack=1

第三次握手：客户端给服务端返回一个ACK(对服务端连接请求的应答)，并更新自己的序列号seq=1，返回一个确认号ack=1

Wireshark分析握手过程

这是我发起连接请求后抓到的数据包

第一次握手：

可以看到，客户端发起一个SYN请求，初始序列号为0

 第二次握手

服务端返回SYN+ACK，并且包含服务端的一个初始序列号seq=0，同时返回一个确认号ack=1

 第三次握手

客户端返回一个ACK，并且返回一个确认号ack=1，并且将自己的序列号seq更新为1

 到此，TCP三次握手就结束了。客户端与服务端之间已经成功建立起连接。

3、TCP数据传输过程分析

        我们常说TCP是可靠性的传输协议，那么它是如何实现可靠性的数据传输呢，就是通过序列号和确认应答提高可靠性。

        我们从客户端往服务端发送了两次数据，第一次发送了一个字符串"hello"，第二次发送了一个字符串"word"。首先客户端发送“hello”时，初始序列号seq为1，服务端接收到数据后，会给一个应答，表示我已经收到了消息，并且这个应答号ack = seq + “接收到的数据长度”，客户端再继续发送时，序列号更新为服务端的应答号的值。

        下面我们就抓包看下这个过程。

        客户端分别向服务器发送了两次消息，第一次发送了一个字符串“hello”，第二次发送了字符串"word"。

        我先从客户端往服务器发送一个字符串 "hello"，我们可以看下，大小为6个字节。

        可以看下初始序列号seq为1

         然后看下服务器返回了什么，服务器作了一个应答ack=7，表示接受到了客户端的信息

再看下第二次发送字符串"word"的情况，序列号seq更新为上一次服务端的应答号ack，变为7

 看下服务端的应答，确认号ack为12

 4、TCP四次挥手分析

        TCP四次挥手示意图

 第一次挥手：客户端发起一个FIN，表示客户端希望断开连接。

 第二次挥手：服务端返回一个ACK，表示对客户端断开请求的应答。

 第三次挥手：服务端发起一个FIN，表示服务端希望断开连接。

 第四次挥手：客户端返回一个ACK，表示对服务端断开请求的应答。

         理论上挥手是需要四次的，但抓包分析时，只抓到了三次挥手过程，第二次握手和第三次握手合并为一次了。

 第一次挥手

        客户端发起一个FIN请求(表示客户端希望断开连接)，序列号seq=12，应答号ack=23。注意这里的应答是上一次数据通信过程中的应答。

第二次，第三次挥手

        服务端返回一个ACK(表示对客户端断开请求的应答) + FIN(表示服务端希望发起断开请求)，应答号ack=13，序列号seq=23

 第四次挥手

         客户端返回一个ACK(表示对服务端断开请求的应答)，应答号ack=24，序列号seq=13

一、实验过程

1、TCP包抓取及分析过程

①确认使用的协议，使用HTTP服务。选择https://www.baidu.com/作为目标地址。
②启动Wireshark软件，点击开始抓包后。在浏览器地址输入https://www.baidu.com/
③在Wireshark软件中使用过滤器，添加本机IP地址和TCP协议过滤条件

2、开始实验

①获取IP双方IP地址（便于过滤）
获取本机IP地址

获取https://www.baidu.com/的IP地址

②在工具栏上的Filter对话框中填入过滤条件：

获取的数据报文如下，红框内为访问百度的TCP三次握手过程

二、概念介绍

TCP报文格式


三次握手过程

wireshark窗口简介

三、根据报文分析TCP的三次握手过程

①第一次握手

192.168.199.233-------->14.215.177.39

(1)数据链路层报文

(2)网络层

(3)传输层
①源端口和目的端口

②窗口大小：如下图所示，窗口大小Windows size value为64240，表示源主机最大能接收64240字节。

③校验和(16bit)：如下图所示，校验和Checksum为0x20cf，包含TCP首部和TCP数据段，这是一个强制性的字段，一定是由发送端计算和存储，由接收端进行验证。

④紧急指针(16bit)。如下图所示，URG标志为1，只有当URG标志置为1时该字段才有效，紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一段发送紧急数据的一种方式。

⑤TCP选项。至少1个字节的可变长字段，标识哪个选项有效。Kind=0:选项表结束， Kind=1:无操作， Kind=2：最大报文段长度，Kind=3:窗口扩大因子， Kind=8:时间戳。如下图所示，Kind为2，代表最大报文长度MSS size。

⑥数据部分。当前数据包的数据部分

过程解析

①第一次握手
传输层

②第二次握手
传输层

③第三次握手
传输层

说明：系统是windos10的，调用http接口来看TCP三次握手的连接及四次挥手的过程。

wireshark安装很好安装，官网下载自己系统的版本然后下载一键默认安装即可，安装完毕双击启动。就是如下图片：

 也可以点击菜单选项捕获，用来选择要捕获的网络，也可以全选，点开始

这个时候进监控页面，因为其他开发的工具也在开着，可能会一直监控到对你来说没有用的信息，此时需要过滤捕捉你需要的信息，如，代表，过滤目标ip和源ip都是此ip,TCP的端口为8089才会抓取到控制台上。

ip.addr == 192.168.1.118 and tcp.port==8089

那么我们现在在postman访问下一个http接口，看如下图：

在三次TCP以后出现了http的请求，这三次就是TCP的三次握手过程，咱们来详细的看一下

 点击第一次连接的列表展示详情，第一次连接是客户端主动要连接服务端的，可以看到传输控制协议里Seq=0(Seq是序列号)，代表初次连接，Ack=0(确认码)，初次连接为0

 除了要给上面所说的信息以外，还要给标志位，就是flags=初次连接需要给SYN=1的标志位表示请求建立连接。

 点击第二次连接，详情如下：

第二次握手是服务端的回馈 8089端口给61474的端口数据，初次连接所以Seq=0，Ack=上一次客户端的序列号+1；

 标志位是SYN=1和ACK=1，代表这是一个确认的回馈连接

 第三次握手详情点击，是客户端61474给8089服务端的反馈，Seq=1,因为这是客户端的第二次交互了，Ack=上一次服务端连接的序列号+1

 标志位为：ACK，表示确认收到了连接回复，三次握手就建立连接完毕

 第4个包是建立http请求，开始传输数据。第5个包Seq=1，为服务器的第二次处理，Ack=上一个http的请求长度+1（254）

包6，Seq=1，因为一直没有有效的数据，Ack则为上一次包的长度

 包7，客户端给服务端，Seq=http传输的长度+1，Ack=上一个包的长度(8192)+1,之后都是往复循环发送数据。

 发送完毕开始4次挥手操作，服务端想要跟客户端断开连接，数据传输完了，所以发送了标志位FIN，ACK代表要断开连接了我这边不传输数据了Seq是之前的传输数据的长度演变过来的，Ack也是上一些数据传输得到的确认码

客户端收到服务端的确认，Seq是上一次客户端的序列号，因为不传输数据所以不加1，Ack则是服务端的Seq数据+1；

 随后客户端又发送标志位FIN,ACK，Seq=上一次的客户端不加1因为没有传输有效的数据，Ack=上一次客户端的确认码不加1，原因是也没有有效数据，代表客户端也可以关闭此连接了，不传输数据了。

收到客户端的回复，发送ACK标志位表示回复，Seq=上一次服务端给客户端序号码+1，Ack=客户端的序列号+1；代表我收到了你的结束请求，完整的关闭，客户端关闭并也告知服务端，服务端关闭也告知了客户端。

 到此三次连接和四次挥手的过程就都展示出来了，最好自己安装此抓包工具，就能更方便的，也更清晰的知道包传输的过程，也会更加好记忆，我也是此次抓包才会对TCP连接记忆更加深刻。