Wireshark实战分析之TCP协议 握手数据帧

1、TCP首部格式

• 源端口： 用来传输数据报的端口

• 目标端口： 数据包将要发送到的端口

• 序号： 用来表示一个TCP片段。这个值用来表示数据流中的部分数据没有丢失

• 确认号： 表示通信中希望从另一个设备得到的下一个数据包的序号

• 数据偏移： 表示此块数据在整块数据中的偏移

• 保留： 包括Reserved， Nonce， CWR和ECN-Echo，共6个比特位

• 标记：用来表示所传输的TCP数据包类型。该字段中可用的标记包括URG, ACK, PSH, RST, SYN, FIN

• 窗口： TCP接受者缓冲区的大小

• 检验和： 用来保证TCP首部和数据部分的完整性

• 紧急指针： 如果设置了URG位，这个值将被检查作为额外的指令

• 选项： 各种可选的域，可以在TCP数据包中进行指定

上面提到了TCP传输时，可用的标记有URG， ACK， PSH， RST， SYN， FIN。 下面分别介绍这几个标记

• URG： 紧急标志。此标志表示TCP包的紧急指针域有效，用来保证TCP连接补被中断。

• ACK： 确认标志。此标志表示应答域有效。1表示应答域有效，0表示无效

• PSH： 此标志表示Push操作，所谓Push操作就是指在数据包到达接收端以后，立刻传送到应用程序，而不在缓冲区排队。

• RST： 该标志表示连接复位请求。

• SYN： 表示同步序号，用来建立连接。SYN标志位和ACK标志位搭配使用。当连接请求时SYN=1， ACK=0。 当连接被响应的时候，SYN=1， ACK=1.

• FIN： 表示发送端已经达到数据的末尾，也就是说双方的数据传输完成，没有数据可以传输了。此时发送FIN标志位的TCP数据包后，连接将被断开。

2、捕获TCP数据包

上图是捕获的TCP数据包。接下来对三次握手和四次挥手做详细说明

3、第一次握手（分析461帧）

从以上的分析可以看出，客户端向服务器发送请求建立连接，当前的序列号为0。

4、第二次握手（分析462帧）

从第二次的分析可以看到，服务器收到客户端的请求建立连接后，发送给客户端确定包（ACK=1）已经请求建立（SYN=1），当前的序列号为0，并且希望下一次的系列号为1.

5、第三次握手（分析463帧）

当第三次握手成功后，客户端和服务端就可以建立连接了，就可以传输数据了。

可能这部分有点不好懂，我建议大家实际操作分析，并结合下图分析