通過(guò)本次實(shí)驗(yàn)，掌握使用Wireshark抓取TCP/IP協(xié)議數(shù)據(jù)包的技能，能夠深入分析TCP幀格式及“TCP三次握手”。通過(guò)抓包和分析數(shù)據(jù)包來(lái)理解TCP/IP協(xié)議，進(jìn)一步提高理論聯(lián)系實(shí)踐的能力。

二. 實(shí)驗(yàn)內(nèi)容

1.本次實(shí)驗(yàn)重點(diǎn)：利用Wireshark抓TCP包及TCP包的分析。

2.本次實(shí)驗(yàn)難點(diǎn)：分析抓到的TCP包。

3.本次實(shí)驗(yàn)環(huán)境：Windows 7，Wireshark。

4.本次實(shí)驗(yàn)內(nèi)容：

TCP協(xié)議是在計(jì)算機(jī)網(wǎng)絡(luò)中使用最廣泛的協(xié)議，很多的應(yīng)用服務(wù)如FTP,HTTP,SMTP等在傳輸層都采用TCP協(xié)議，因此，如果要抓取TCP協(xié)議的數(shù)據(jù)包，可以在抓取相應(yīng)的網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)包后，分析TCP協(xié)議數(shù)據(jù)包，深入理解協(xié)議封裝，協(xié)議控制過(guò)程以及數(shù)據(jù)承載過(guò)程。兩幅圖分別是TCP幀格式及TCP三次握手。

三.實(shí)驗(yàn)過(guò)程

1. TCP包抓取及分析過(guò)程如下：

第一步，確定使用的協(xié)議，使用HTTP服務(wù)。選擇http://www.sina.com.cn/作為目標(biāo)地址。

第二步，啟動(dòng)抓包：點(diǎn)擊【start】開始抓包，在瀏覽器地址欄輸入http://www.sina.com.cn。

第三步，通過(guò)顯示過(guò)濾器得到先關(guān)數(shù)據(jù)包：通過(guò)抓包獲得大量的數(shù)據(jù)包，為了對(duì)數(shù)據(jù)包分析的方便，需要使用過(guò)濾器，添加本機(jī)IP地址和TCP協(xié)議過(guò)濾條件。

（1）打開命令提示符，通過(guò)ipconfig /all來(lái)查看本機(jī)IP地址。

（2）在工具欄上的Filter對(duì)話框中填入過(guò)濾條件：tcp and ip.addr==196.168.100.131，過(guò)濾結(jié)果如下：

結(jié)果發(fā)現(xiàn)效果不是很好，于是將過(guò)濾條件中的IP地址更換為http://www.sina.com.cn的IP地址，操作過(guò)程如下：

（1）打開命令提示符，通過(guò)ping www.sina.com.cn來(lái)查看目標(biāo)IP地址。

（2）打開命在工具欄上的Filter對(duì)話框中填入過(guò)濾條件：tcp and ip.addr==218.30.66.248，過(guò)濾結(jié)果如下：

其中，紅色框內(nèi)即為一個(gè)三次握手過(guò)程：

第四步，分析TCP數(shù)據(jù)包，根據(jù)第一幅圖中的數(shù)據(jù)幀格式，分析TCP包的各部分。

• 原端口/目的端口(16bit)。如下圖所示，源端口為443，標(biāo)識(shí)了發(fā)送進(jìn)程；目的端口為3201，標(biāo)識(shí)了接收方進(jìn)程。

• 序列號(hào)(32bit)。如下圖所示，發(fā)送序列號(hào)Sequence Number為0，標(biāo)識(shí)從源端向目的端發(fā)送的數(shù)據(jù)字節(jié)流，它表示在這個(gè)報(bào)文端中的第一個(gè)數(shù)據(jù)字節(jié)的順序號(hào)，序列號(hào)是32位的無(wú)符號(hào)類型，序號(hào)表達(dá)達(dá)到2^32 – 1后又從0開始， 當(dāng)建立一個(gè)新的連接時(shí)，SYN標(biāo)志為1，系列號(hào)將由主機(jī)隨機(jī)選擇一個(gè)順序號(hào)ISN(Initial Sequence Number)。

• 確認(rèn)號(hào)(32bit)。如下圖所示，確認(rèn)號(hào)Acknowledgment Number為1，包涵了發(fā)送確認(rèn)一端所期望收到的下一個(gè)順序號(hào)。因此確認(rèn)序列號(hào)應(yīng)當(dāng)是上次成功接收到數(shù)據(jù)的順序號(hào)加1。只有ACK標(biāo)志為1時(shí)確認(rèn)序號(hào)字段才有效。TCP為應(yīng)用層提供全雙工服務(wù)，這意味著數(shù)據(jù)能在兩個(gè)方向上獨(dú)立的進(jìn)行傳輸，因此連接的兩斷必須要保證每個(gè)方向上的傳輸數(shù)據(jù)順序。

• 偏移(4bit)。如下圖所示，偏移32bytes，這里的偏移實(shí)際指的是TCP首部的長(zhǎng)度Header length，它用來(lái)表明TCP首部中32bit字的數(shù)目，通過(guò)它可以知道一個(gè)TCP包它的用戶數(shù)據(jù)從哪里開始。

• 保留位(6bit)。如下圖所示，保留位Reserved未設(shè)置。

• 標(biāo)志(6bit)。在TCP首部中有6個(gè)標(biāo)志比特，他們中的多個(gè)可同時(shí)被置為1。如下圖所示:

URG(Urgent Pointer Field Significant):緊急指針標(biāo)志，用來(lái)保證TCP連接不被中斷，并且督促中間設(shè)備盡快處理這些數(shù)據(jù)，圖中其值為1。

ACK(Acknowledgement Field Signigicant)：確認(rèn)號(hào)字段，該字段為1時(shí)表示應(yīng)答字段有效，即TCP應(yīng)答號(hào)將包含在TCP報(bào)文中，圖中其值為1。

PSH(Push Function): 推送功能，所謂推送功能指的是接收端在接收到數(shù)據(jù)后立即推送給應(yīng)用程序，而不是在緩沖區(qū)中排隊(duì)，圖中其值為0。

RST(Reset the connection): 重置連接，不過(guò)一搬表示斷開一個(gè)連接，圖中其值為0。

SYN(Synchronize sequence numbers):同步序列號(hào)，用來(lái)發(fā)起一個(gè)連接請(qǐng)求，圖中其值為1。

FIN(No more data from sender)表示發(fā)送端發(fā)送任務(wù)已經(jīng)完成（既斷開連接）。

• 窗口大小(16bit)。 如下圖所示，窗口大小Windows size value為29200，表示源主機(jī)最大能接收29200字節(jié)。

• 校驗(yàn)和(16bit)。如下圖所示，校驗(yàn)和Checksum為0xc24f，包含TCP首部和TCP數(shù)據(jù)段，這是一個(gè)強(qiáng)制性的字段，一定是由發(fā)送端計(jì)算和存儲(chǔ)，由接收端進(jìn)行驗(yàn)證。

• 緊急指針(16bit)。如下圖所示，URG標(biāo)志為1，只有當(dāng)URG標(biāo)志置為1時(shí)該字段才有效，緊急指針是一個(gè)正的偏移量，和序號(hào)字段中的值相加表示緊急數(shù)據(jù)最后一個(gè)字節(jié)的序號(hào)。TCP的緊急方式是發(fā)送端向另一段發(fā)送緊急數(shù)據(jù)的一種方式。

• TCP選項(xiàng)。至少1個(gè)字節(jié)的可變長(zhǎng)字段，標(biāo)識(shí)哪個(gè)選項(xiàng)有效。Kind=0:選項(xiàng)表結(jié)束， Kind=1:無(wú)操作， Kind=2：最大報(bào)文段長(zhǎng)度，Kind=3:窗口擴(kuò)大因子， Kind=8:時(shí)間戳。如下圖所示，Kind為2，代表最大報(bào)文長(zhǎng)度MSS size。

• 數(shù)據(jù)部分。當(dāng)前數(shù)據(jù)包的數(shù)據(jù)部分，如下圖所示：

2. TCP三次握手：

第一次握手?jǐn)?shù)據(jù)包：客戶端發(fā)送一個(gè)TCP，標(biāo)志位為SYN，序列號(hào)為0， 代表客戶端請(qǐng)求建立連接，如下圖所示（第一條）：

第二次握手的數(shù)據(jù)包：服務(wù)器發(fā)回確認(rèn)包, 標(biāo)志位為 SYN,ACK. 將確認(rèn)序號(hào)(Acknowledgement Number)設(shè)置為客戶的I S N加1以.即0+1=1，如下圖所示（第二條）：

第三次握手的數(shù)據(jù)包：客戶端再次發(fā)送確認(rèn)包(ACK) SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來(lái)ACK的序號(hào)字段+1,放在確定字段中發(fā)送給對(duì)方。在進(jìn)過(guò)三次握手后和服務(wù)器建立了TCP連接，如下圖所示（第三條）：

總結(jié)

以上是生活随笔為你收集整理的wireshark捕获tcp数据包_抓包分析详解(Wireshark)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。