wiresharkTcpUdp抓包分析分析和总结.pdfVIP

Wireshark 抓包分析 CONTENTS 5 TCP 协议抓包分析 5.1 TCP 协议格式及特点 5.2 实例分析 6 UDP 协议的抓包分析 6.1 UDP 报文格式及特点 6.2 流媒体播放时传输层报文分析 5 TCP 协议抓包分析 5.1 TCP 协议的格式及特点 图 1 TCP 协议报头格式 源端口：数据发起者的端口号； 目的端口：数据接收方的端口号； 32bit 序列号，标识当前数据段的唯一性； 32bit 的确认号，接收数据方返回给发送方 的通知； TCP头部长度为 20 字节，若 TCP头部的 Options 选项启用，则会增加 首部长度，因此 TCP是首部变长的传输层协议； Reserved、Reserved、Nonce、 CWR、ECN-Echo：共 6bit ，保留待用。 URG：1bit 紧急指针位，取值 1 代表这个数据是紧急数据需加速传递，取值 0 代 表这是普通数据； ACK：1bit 确认位，取值 1 代表这是一个确认的 TCP包，取值 0 则不是确认包； PSH：1bit 紧急位，取值 1 代表要求发送方马上发送该分段，而接收方尽快的将 报文交给应用层，不做队列处理。取值 0 阿迪表这是普通数据； RST：1bit 重置位，当 TCP收到一个不属于该主机的任何一个连接的数据，则向 对方发一个复位包，此时该位取值为 1，若取值为 0 代表这个数据包是传给自己 的； SYN：1bit 请求位，取值 1 代表这是一个 TCP三次握手的建立连接的包，取值为 0 就代表是其他包； FIN：1bit 完成位，取值 1 代表这是一个 TCP断开连接的包，取值为 0 就代表是 其他包； Window Size ：16bit 窗口大小，表示准备收到的每个 TCP数据的大小； Checksum：16bit 的 TCP头部校验，计算 TCP头部，从而证明数据的有效性； Urgent Pointer ：16bit 紧急数据点，当功能 bit 中的 URG取值为 1 时有效； Options ：TCP的头部最小 20 个字节。如果这里有设置其他参数，会导致头部增 大； Padding ：当 TCP头部小于 20 字节时会出现， 不定长的空白填充字段， 填充内容 都是 0，但是填充长度一定会是 32 的倍数； Data ：被 TCP封装进去的数据，包含应用层协议头部和用户发出的数据。 5.2 请求网页文件时传输层报文分析 下面结合具体的 Wireshark 的抓包分析 TCP 报文的特点。如图 2 所示。 图 2 TCP 协议中请求建立连接 首先，注意到该报文的 SYN 字段为 1，因此该报文为建立连接的报文。窗 口个数为 8192。Option 字段中指明了最长字段长度为 1460 字节。 图 3 服务器返回请求建立连接的确认 图 3 表示出了服务器向用户返回请求建立连接报文的确认字段， 其中 SYN 为 1，ACK 为 1。传送的数据序列号为 0 。窗口大小仍然为 8192。图 3 即为 TCP 协 议建立连接过程中的三次握手中的第二次握手。