标签:挥手 ACK TCP Wireshark FIN 抓包 客户端
Wireshark抓包分析TCP“三次握手,四次挥手”
1.目的
客户端与服务器之间建立TCP/IP连接,我们知道是通过三次握手,四次挥手实现的,但是很多地方对这个知识的描述仅限于理论层面,这次我们通过网络抓包的方式来看一下实际的TCP/IP传输过程。
2.什么是抓包?
网络传输信息是通过层层打包,最终到达客户端物理层,经过网线等设备传输到服务器端后,再进行层层拆包,最后获取信息。而抓包的“包”就是这个打包了信息的“包。抓包(packet capture)就是将网络传输发送与接收的数据包进行截获,来进行分析的过程。
3.如何进行抓包?
我们可以利用现成的网络抓包软件Wireshark,进行抓包,从而分析TCP/IP传输过程。
Wireshark软件下载:Wireshark软件官网下载,一定要下载下图中的”Windows Installer(64-bit)
4.抓包分析TCP/IP传输过程(“三次握手”)
4.1第一步:浏览器打开网页https://www.hit.edu.cn/ (其他的网页也没问题)
4.2第二步:打开命令行窗口,输入:ping www.tencent.com,查看IP地址(切记:千万不要把https/http加进去)
这里我们得到的IP地址是61.167.60.70
4.3第三步:打开Wireshark软件
4.3.1先双击“WLAN”
4.3.2得到下图
4.3.3在下图方框位置输入:ip.addr==61.167.60.70,按下回车键,稍等片刻
(如果没反应,重新在浏览器输入网址,并重新获取IP地址,也就是重复1,2步操作)
4.3.4显示如下图所示
注意!!:如果第一步访问的是一些比较大的网站,例如腾讯之类的,这步会出不来,因为这些大网站往往有多个主机,你用ping访问到的ip地址和浏览器访问到的ip地址会出现不一致的情况,导致这一步只有ping的包。也就是说建议大家不要选择大网站测试,可以像我这样,用自己学校网址或者一些小的网站测试。
5.分析“三次握手”抓包结果
首先是抓包结果图(把上一步得到的结果划到最上面看)如下:
方框处也就是“三次握手的结果。
- 第一次的标志是“[SYN]”,序列号seq为0, 代表客户端请求建立连接
- 第二次的标志是“[SYN, ACK]”,序列号Seq为0,Ack值为客户端发送过来的Seq加1,也就是1,表示服务器可以正常接收客户端数据包。
- 第三次的标志是“[ACK]”,客户端表示可以正常接收服务器数据包,这是为了保证可以全双工通讯,接下来就可以正常发送数据。
6.“四次挥手”抓包及分析
首先我们需要把浏览器的页面关闭,也就是断开TCP/IP连接,之后等待几分钟。会出现下面的画面,方框就是“挥手”过程。
四次挥手标志分别为:
- "[FIN, ACK]"
- "[ACK]"
- "[FIN, ACK]"
- "[ACK]"
这里,我们需要注意两点:
(1)客户端与服务器端传输时全双工的,因此断开请求既可以由客户端发起,也可以由服务器端发起。只要找准第一次出现"[FIN, ACK]"的位置,就是第一次挥手位置。
(2)为什么我们抓包抓到的不是“四次挥手”,而是“三次挥手”呢?
这里涉及到LInux的TCP时延机制,当被挥手端(这里是12672端口)第一次收到挥手端(这里是443端口)的“FIN”请求时,并不会立即发送ACK,而是会经过一段延迟时间后再发送,但是此时被挥手端也没有数据发送,就会向挥手端发送“FIN"请求,这里就可能造成被挥手端发送的“FIN”与“ACK”一起被挥手端收到,导致出现“第二、三次挥手”合并为一次的现象,也就最终呈现出“三次挥手”的情况。
标签:挥手,ACK,TCP,Wireshark,FIN,抓包,客户端 来源: https://www.cnblogs.com/Leo_wl/p/16611322.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。