wireshark抓包图解TCP三次握手四次挥手详解.docx

wireshark抓包图解 TCP三次握手/四次挥手详解一.?TCP/IP协议族? ? ? TCP/IP是一个协议族，通常分不同层次进行开发，每个层次负责不同的通信功能。包含以下四个层次：1. 链路层，也称作数据链路层或者网络接口层，通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。它们一起处理与电缆（或其他任何传输媒介）的物理接口细节。2. 网络层，也称作互联网层，处理分组在网络中的活动，例如分组的选路。网络层协议包括IP协议（网际协议）、ICMP协议（Internet互联网控制报文协议），以及IGMP协议（Internet组管理协议）。3. 运输层主要为两台主机上的应用程序提供端到端的通信。在TCP/IP协议族中，有两个互不相同的传输协议：TCP（传输控制协议）和UDP（用户数据报协议）。TCP为两台主机提供高可靠性的数据通信。他所作的工作包括把应用程序交给它的数据分成合适的小块交给下面的网络层，确认接收到的分组，设置发送最后确认分组的超时时钟等。由于运输层提供了高可靠性的端到端通信，因此应用层可以忽略所有这些细节。而另一方面，UDP则为应用层提供一种非常简单的服务。它只是把称作数据报的分组从一台主机发送到另一台主机，但并不保证该数据报能到达另一端。任何必须的可靠性必须由应用层来提供。4. 应用层负责处理特定的应用程序细节。包括Telnet（远程登录）、FTP（文件传输协议）、SMTP（简单邮件传送协议）以及SNMP（简单网络管理协议）等。wireshark抓到的包与对应的协议层如下图所示：1. Frame:???物理层的数据帧概况2. Ethernet?II:?数据链路层以太网帧头部信息3. Internet Protocol Version 4:?互联网层IP包头部信息4. Transmission Control Protocol:??传输层的数据段头部信息，此处是TCP5. Hypertext Transfer Protocol:??应用层的信息，此处是HTTP协议二. TCP协议? ? ? TCP是一种面向连接（连接导向）的、可靠的基于字节流的传输层通信协议。TCP将用户数据打包成报文段，它发送后启动一个定时器，另一端收到的数据进行确认、对失序的数据重新排序、丢弃重复数据。? ? ? TCP的特点有：1. TCP是面向连接的运输层协议2. 每一条TCP连接只能有两个端点，每一条TCP连接只能是点对点的3. TCP提供可靠交付的服务4. TCP提供全双工通信。数据在两个方向上独立的进行传输。因此，连接的每一端必须保持每个方向上的传输数据序号。5. 面向字节流。面向字节流的含义：虽然应用程序和TCP交互是一次一个数据块，但TCP把应用程序交下来的数据仅仅是一连串的无结构的字节流? ? ? TCP报文首部，如下图所示：1. 源端口号：数据发起者的端口号，16bit2. 目的端口号：数据接收者的端口号，16bit3. 序号：32bit的序列号，由发送方使用4. 确认序号：32bit的确认号，是接收数据方期望收到发送方的下一个报文段的序号，因此确认序号应当是上次已成功收到数据字节序号加1。5. 首部长度：首部中32bit字的数目，可表示15*32bit=60字节的首部。一般首部长度为20字节。6. 保留：6bit, 均为07. 紧急URG：当URG=1时，表示报文段中有紧急数据，应尽快传送。8. 确认比特ACK：ACK = 1时代表这是一个确认的TCP包，取值0则不是确认包。9. 推送比特PSH：当发送端PSH=1时，接收端尽快的交付给应用进程。10. 复位比特（RST）：当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再重新建立连接。11. 同步比特SYN：在建立连接是用来同步序号。SYN=1， ACK=0表示一个连接请求报文段。SYN=1，ACK=1表示同意建立连接。12. 终止比特FIN：FIN=1时，表明此报文段的发送端的数据已经发送完毕，并要求释放传输连接。13. 窗口：用来控制对方发送的数据量，通知发放已确定的发送窗口上限。14. 检验和：该字段检验的范围包括首部和数据这两部分。由发端计算和存储，并由收端进行验证。15. 紧急指针：紧急指针在URG=1时才有效，它指出本报文段中的紧急数据的字节数。16. 选项：长度可变，最长可达40字节wireshark捕获到的TCP包中的每个字段如下图所示：三. TCP三次握手? ? ? ?TCP建立连接时，会有三次握手过程，如下图所示，wireshark截获到了三次握手的三个数据包。第四个包才是http的，说明http的确是使用TCP建立连接的。下面来逐步分析三次握手过程：第一次握手：客户端向服务器发送连接请求包，标志位SYN（同步序号）置为1，序号为