wireshark抓包圖解 TCP三次握手/四次揮手詳解

2014.12.01

一. TCP/IP協(xié)議族

TCP/IP是一個協(xié)議族，通常分不同層次進行開發(fā)，每個層次負責(zé)不同的通信功能。包含以下四個層次：

1. 鏈路層，也稱作數(shù)據(jù)鏈路層或者網(wǎng)絡(luò)接口層，通常包括操作系統(tǒng)中的設(shè)備驅(qū)動程序和計算機中對應(yīng)的網(wǎng)絡(luò)接口卡。它們一起處理與電纜（或其他任何傳輸媒介）的物理接口細節(jié)。

2. 網(wǎng)絡(luò)層，也稱作互聯(lián)網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動，例如分組的選路。網(wǎng)絡(luò)層協(xié)議包括IP協(xié)議（網(wǎng)際協(xié)議）、ICMP協(xié)議（Internet互聯(lián)網(wǎng)控制報文協(xié)議），以及IGMP協(xié)議（Internet組管理協(xié)議）。

3. 運輸層主要為兩臺主機上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議族中，有兩個互不相同的傳輸協(xié)議：TCP（傳輸控制協(xié)議）和UDP（用戶數(shù)據(jù)報協(xié)議）。TCP為兩臺主機提供高可靠性的數(shù)據(jù)通信。他所作的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊交給下面的網(wǎng)絡(luò)層，確認接收到的分組，設(shè)置發(fā)送最后確認分組的超時時鐘等。由于運輸層提供了高可靠性的端到端通信，因此應(yīng)用層可以忽略所有這些細節(jié)。而另一方面，UDP則為應(yīng)用層提供一種非常簡單的服務(wù)。它只是把稱作數(shù)據(jù)報的分組從一臺主機發(fā)送到另一臺主機，但并不保證該數(shù)據(jù)報能到達另一端。任何必須的可靠性必須由應(yīng)用層來提供。

4. 應(yīng)用層負責(zé)處理特定的應(yīng)用程序細節(jié)。包括Telnet（遠程登錄）、FTP（文件傳輸協(xié)議）、SMTP（簡單郵件傳送協(xié)議）以及SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）等。

wireshark抓到的包與對應(yīng)的協(xié)議層如下圖所示：

1. Frame: 物理層的數(shù)據(jù)幀概況

2. Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

3. Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息

4. Transmission Control Protocol: 傳輸層的數(shù)據(jù)段頭部信息，此處是TCP

5. Hypertext Transfer Protocol: 應(yīng)用層的信息，此處是HTTP協(xié)議

二. TCP協(xié)議

TCP是一種面向連接（連接導(dǎo)向）的、可靠的基于字節(jié)流的傳輸層通信協(xié)議。TCP將用戶數(shù)據(jù)打包成報文段，它發(fā)送后啟動一個定時器，另一端收到的數(shù)據(jù)進行確認、對失序的數(shù)據(jù)重新排序、丟棄重復(fù)數(shù)據(jù)。

TCP的特點有：

1. TCP是面向連接的運輸層協(xié)議

2. 每一條TCP連接只能有兩個端點，每一條TCP連接只能是點對點的

3. TCP提供可靠交付的服務(wù)

4. TCP提供全雙工通信。數(shù)據(jù)在兩個方向上獨立的進行傳輸。因此，連接的每一端必須保持每個方向上的傳輸數(shù)據(jù)序號。

5. 面向字節(jié)流。面向字節(jié)流的含義：雖然應(yīng)用程序和TCP交互是一次一個數(shù)據(jù)塊，但TCP把應(yīng)用程序交下來的數(shù)據(jù)僅僅是一連串的無結(jié)構(gòu)的字節(jié)流

TCP報文首部，如下圖所示：

1. 源端口號：數(shù)據(jù)發(fā)起者的端口號，16bit

2. 目的端口號：數(shù)據(jù)接收者的端口號，16bit

3. 序號：32bit的序列號，由發(fā)送方使用

4. 確認序號：32bit的確認號，是接收數(shù)據(jù)方期望收到發(fā)送方的下一個報文段的序號，因此確認序號應(yīng)當(dāng)是上次已成功收到數(shù)據(jù)字節(jié)序號加1。

5. 首部長度：首部中32bit字的數(shù)目，可表示15*32bit=60字節(jié)的首部。一般首部長度為20字節(jié)。

6. 保留：6bit, 均為0

7. 緊急URG：當(dāng)URG=1時，表示報文段中有緊急數(shù)據(jù)，應(yīng)盡快傳送。

8. 確認比特ACK：ACK = 1時代表這是一個確認的TCP包，取值0則不是確認包。

9. 推送比特PSH：當(dāng)發(fā)送端PSH=1時，接收端盡快的交付給應(yīng)用進程。

10. 復(fù)位比特（RST）：當(dāng)RST=1時，表明TCP連接中出現(xiàn)嚴(yán)重差錯，必須釋放連接，再重新建立連接。

11. 同步比特SYN：在建立連接是用來同步序號。SYN=1， ACK=0表示一個連接請求報文段。SYN=1，ACK=1表示同意建立連接。

12. 終止比特FIN：FIN=1時，表明此報文段的發(fā)送端的數(shù)據(jù)已經(jīng)發(fā)送完畢，并要求釋放傳輸連接。

13. 窗口：用來控制對方發(fā)送的數(shù)據(jù)量，通知發(fā)放已確定的發(fā)送窗口上限。

14. 檢驗和：該字段檢驗的范圍包括首部和數(shù)據(jù)這兩部分。由發(fā)端計算和存儲，并由收端進行驗證。

15. 緊急指針：緊急指針在URG=1時才有效，它指出本報文段中的緊急數(shù)據(jù)的字節(jié)數(shù)。

16. 選項：長度可變，最長可達40字節(jié)

wireshark捕獲到的TCP包中的每個字段如下圖所示：

三. TCP三次握手

TCP建立連接時，會有三次握手過程，如下圖所示，wireshark截獲到了三次握手的三個數(shù)據(jù)包。第四個包才是http的，說明http的確是使用TCP建立連接的。

下面來逐步分析三次握手過程：

第一次握手：客戶端向服務(wù)器發(fā)送連接請求包，標(biāo)志位SYN（同步序號）置為1，序號為X=0

第二次握手：服務(wù)器收到客戶端發(fā)過來報文，由SYN=1知道客戶端要求建立聯(lián)機。向客戶端發(fā)送一個SYN和ACK都置為1的TCP報文，設(shè)置初始序號Y=0，將確認序號(Acknowledgement Number)設(shè)置為客戶的序列號加1，即X+1 = 0+1=1, 如下圖：

第三次握手：客戶端收到服務(wù)器發(fā)來的包后檢查確認序號(Acknowledgement Number)是否正確，即第一次發(fā)送的序號加1（X+1=1）。以及標(biāo)志位ACK是否為1。若正確，服務(wù)器再次發(fā)送確認包，ACK標(biāo)志位為1，SYN標(biāo)志位為0。確認序號(Acknowledgement Number)=Y+1=0+1=1，發(fā)送序號為X+1=1。客戶端收到后確認序號值與ACK=1則連接建立成功，可以傳送數(shù)據(jù)了。