「其他分享」TCP三次握手和四次挥手包抓包及分析

智能摘要 AI

本文介绍了使用Wireshark软件进行TCP三次握手和四次挥手实验的过程。实验中，通过浏览器访问指定网站，利用Wireshark抓取并分析数据包。三次握手包括客户端向服务器发送SYN请求，服务器回应SYN+ACK，客户端再次回应ACK，完成连接建立。四次挥手则涉及客户端发送FIN请求关闭连接，服务器回应ACK，随后服务器发送FIN请求关闭自身连接，客户端最后回应ACK，完成连接关闭。实验中发现服务器有时会将ACK和FIN合并，导致仅抓到三个挥手包。通过查阅资料解决了这一问题，最终成功验证了理论知识。

使用软件及环境

Wireshark
连接上互联网
浏览器

实验过程

实验前准备

安装好抓包软件，测试好本地网络连接是否正常，打开Wireshark开始抓包

完成实验操作

使用浏览器直接浏览网页https:/blog.eswlnk.com，待网页加载完成后停止抓包，接着可以将抓到的包进行保存。

分析三次握手过程

过滤掉其他无用包介绍一些参数

过滤参数 tcp && tcp.port == 443 && ip.addr == 193.200.134.40 && tcp.port == 1271 将无用的包过滤掉

字段	含义
URG	紧急指针是否有效。为1，表示某一位需要被优先处理
ACK	确认号是否有效，一般置为1。
PSH	提示接收端应用程序立即从TCP缓冲区把数据读走。
RST	对方要求重新建立连接，复位。
SYN	请求建立连接，并在其序列号的字段进行序列号的初始值设定。建立连接，设置为1
FIN	希望断开连接。

Client -> Server

0000   00 74 9c dd e6 c1 80 fa 5b 6b f8 0e 08 00 45 00
0010   00 34 fd 07 40 00 80 06 00 00 0a 02 5a 37 c1 c8
0020   86 28 04 f7 01 bb 70 c2 3f 0c 00 00 00 00 80 02
0030   fa f0 ac 50 00 00 02 04 05 b4 01 03 03 08 01 01
0040   04 02

第一次请求Client->Server [SYN]

TCP包头
0020   ** ** 04 f7 01 bb 70 c2 3f 0c 00 00 00 00 80 02
0030   fa f0 ac 50 00 00 02 04 05 b4 01 03 03 08 01 01
0040   04 02

数据	含义	值
04 f7	源端口	1271
01 bb	目的端口	443
70 c2 3f 0c	32位序号	1891778316
00 00 00 00	32位确认序号	0
80 02		1000 0000 0000 0010
1000	TCP头部长度	8
0000 00	保留
	URG	0
	ACK	0
	PSH	0
	RST	0
	SYN	1
	FIN	0
fa f0	窗口大小	64240
ac 50	校验和	0xac50
00 00	紧急指针	0x0000

Server -> Client

0000   80 fa 5b 6b f8 0e 00 74 9c dd e6 c1 08 00 45 04
0010   00 34 00 00 40 00 29 06 a5 96 c1 c8 86 28 0a 02
0020   5a 37 01 bb 04 f7 11 b2 bc 9a 70 c2 3f 0d 80 12
0030   fa f0 43 18 00 00 02 04 05 b4 01 01 04 02 01 03
0040   03 07

来自服务器的回复Server->Client [SYN,ACK] 此时由 Client -> Server 的通道已经打通

TCP包头
0020   ** ** 01 bb 04 f7 11 b2 bc 9a 70 c2 3f 0d 80 12
0030   fa f0 43 18 00 00 02 04 05 b4 01 01 04 02 01 03
0040   03 07

数据	含义	值
01 bb	源端口	443
04 f7	目的端口	443
11 b2 bc 9a	32位序号	296926362
70 c2 3f 0d	32位确认序号	1891778317
80 12		1000 0000 0001 0010
1000	TCP头部长度	8
0000 00	保留
	URG	0
	ACK	1
	PSH	0
	RST	0
	SYN	1
	FIN	0
fa f0	窗口大小	64240
43 18	校验和	0x4318
00 00	紧急指针	0x0000

Client -> Server

0000   00 74 9c dd e6 c1 80 fa 5b 6b f8 0e 08 00 45 00
0010   00 28 fd 0a 40 00 80 06 00 00 0a 02 5a 37 c1 c8
0020   86 28 04 f7 01 bb 70 c2 3f 0d 11 b2 bc 9b 50 10
0030   04 02 ac 44 00 00

来自客户端的回复Client->Server [ACK] 此时由 Server -> Client 的通道已经打通,此时 TCP三次握手已经完成接下来就可以进行数据的传输了,由于网站使用的是tls1.3(https)的协议后面就不进行详细分析了

TCP包头
0020   ** ** 04 f7 01 bb 70 c2 3f 0d 11 b2 bc 9b 50 10
0030   04 02 ac 44 00 00

数据	含义	值
04 f7	源端口	1271
01 bb	目的端口	443
70 c2 3f 0d	32位序号	1891778317
11 b2 bc 9b	32位确认序号	296926363
50 10		0101 0000 0001 0000
0101	TCP头部长度	5
0000 00	保留
	URG	0
	ACK	1
	PSH	0
	RST	0
	SYN	0
	FIN	0
04 02	窗口大小	1026
ac 44	校验和	0xac44
00 00	紧急指针	0x0000

sequenceDiagram A–>B

分析四次挥手包

遇到的问题

我在抓四次挥手包时发现自己只能抓到3次?，很奇怪。经过查询资料后得知在如果对方收到本端FIN报文时，对方的接收通道就会关闭。此时，如果对方也没有数据发给本端，那么对方也会发送FIN给本端，用于关闭从对方到本端的连接，这时候就可能出现ACK和FIN合在一起的情况。当然，如果对方仍然有数据发送，那么就等数据发完，再发FIN来关闭连接，这时候就是四次挥手了。因此，四次挥手变成三次。

Client -> Server

0000   00 74 9c dd e6 c1 80 fa 5b 6b f8 0e 08 00 45 00
0010   00 28 3f 3c 40 00 80 06 00 00 0a 02 5a 37 c1 c8
0020   86 28 44 92 01 bb 25 55 d2 86 6b db ec 11 50 11
0030   04 00 ac 44 00 00

第一次请求Client->Server [ACK FIN]向服务器请求关闭服务器的接收通道

TCP包头
0020   ** ** 44 92 01 bb 25 55 d2 86 6b db ec 11 50 11
0030   04 00 ac 44 00 00

数据	含义	值
44 92	源端口	17554
01 bb	目的端口	443
25 55 d2 86	32位序号	626381446
6b db ec 11	32位确认序号	1809574929
50 11		0101 0000 0001 0001
0101	TCP头部长度	5
0000 00	保留
	URG	0
	ACK	1
	PSH	0
	RST	0
	SYN	0
	FIN	1
04 00	窗口大小	1024
ac 44	校验和	0xac44
00 00	紧急指针	0x0000

Server -> Client

0000   80 fa 5b 6b f8 0e 00 74 9c dd e6 c1 08 00 45 04
0010   00 28 13 aa 40 00 2a 06 90 f8 c1 c8 86 28 0a 02
0020   5a 37 01 bb 44 92 6b db ec 11 25 55 d2 86 50 10
0030   01 f5 6b 9f 00 00 00 00 00 00 00 00

Server->Client [ACK]此时服务器已经关闭了自己的接收通道

TCP包头
0020   ** ** 01 bb 44 92 6b db ec 11 25 55 d2 86 50 10
0030   01 f5 6b 9f 00 00 00 00 00 00 00 00

数据	含义	值
01 bb	源端口	443
44 92	目的端口	17554
6b db ec 11	32位序号	1809574929
25 55 d2 86	32位确认序号	626381446
50 10		0101 0000 0001 0000
0101	TCP头部长度	5
0000 00	保留
	URG	0
	ACK	1
	PSH	0
	RST	0
	SYN	0
	FIN	0
01 f5	窗口大小	501
6b 9f	校验和	0x6b9f
00 00	紧急指针	0x0000

Server -> Client

0000   80 fa 5b 6b f8 0e 00 74 9c dd e6 c1 08 00 45 04
0010   00 28 13 ab 40 00 2a 06 90 f7 c1 c8 86 28 0a 02
0020   5a 37 01 bb 44 92 6b db ec 11 25 55 d2 86 50 11
0030   01 f5 6b 9e 00 00 00 00 00 00 00 00

Server->Client [ACK FIN]服务器向客户端请求关闭客户端的接收通道

TCP包头
0020   ** ** 01 bb 44 92 6b db ec 11 25 55 d2 86 50 11
0030   01 f5 6b 9e 00 00 00 00 00 00 00 00

数据	含义	值
01 bb	源端口	443
44 92	目的端口	17554
6b db ec 11	32位序号	1809574929
25 55 d2 86	32位确认序号	626381446
50 11		0101 0000 0001 0001
0101	TCP头部长度	5
0000 00	保留
	URG	0
	ACK	1
	PSH	0
	RST	0
	SYN	0
	FIN	1
01 f5	窗口大小	501
6b 9e	校验和	0x6b9e
00 00	紧急指针	0x0000

Client -> Server

0000   00 74 9c dd e6 c1 80 fa 5b 6b f8 0e 08 00 45 00
0010   00 28 3f 3d 40 00 80 06 00 00 0a 02 5a 37 c1 c8
0020   86 28 44 92 01 bb 25 55 d2 87 6b db ec 12 50 10
0030   04 00 ac 44 00 00

Client->Server [ACK]此时双向通道都已经关闭了，四次挥手包完成

TCP包头
0020   ** ** 44 92 01 bb 25 55 d2 87 6b db ec 12 50 10
0030   04 00 ac 44 00 00

数据	含义	值
44 92	源端口	17554
01 bb	目的端口	443
25 55 d2 87	32位序号	626381447
6b db ec 12	32位确认序号	1809574930
50 10		0101 0000 0001 0000
0101	TCP头部长度	5
0000 00	保留
	URG	0
	ACK	1
	PSH	0
	RST	0
	SYN	0
	FIN	0
04 00	窗口大小	1024
ac 44	校验和	0xac44
00 00	紧急指针	0x0000

实验结果

成功抓到TCP握手与挥手的包，并且分析完成，验证了老师上课讲的内容。但在实验过程中也遇到了一些困难，特别是在抓挥手包时，服务器发送的包总是将ACK和FIN合并，导致只抓到三个包，后面经过查阅资料成功解决问题。

「其他分享」TCP三次握手和四次挥手包抓包及分析

使用软件及环境

实验过程

实验前准备

完成实验操作

分析三次握手过程

过滤掉其他无用包介绍一些参数

Client -> Server

Server -> Client

Client -> Server

分析四次挥手包

遇到的问题

Client -> Server

Server -> Client

Server -> Client

Client -> Server

实验结果

评论 (0)

Eswlnk

随便看看

文章目录

专题展示

WordPress⁵³

工程实践³⁷

「其他分享」TCP三次握手和四次挥手包抓包及分析

使用软件及环境

实验过程

实验前准备

完成实验操作

分析三次握手过程

过滤掉其他无用包 介绍一些参数

Client -> Server

Server -> Client

Client -> Server

分析四次挥手包

遇到的问题

Client -> Server

Server -> Client

Server -> Client

Client -> Server

实验结果

评论 (0)

猜你喜欢

Eswlnk

随便看看

文章目录

专题展示

WordPress53

工程实践37

热门标签

过滤掉其他无用包介绍一些参数

WordPress⁵³

工程实践³⁷