TCP 握手数据包分析

已于 2025-02-14 19:47:58 修改
阅读量727 收藏
点赞数 1
文章标签: tcp/ip 网络 linux
于 2025-01-24 10:44:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bme314/article/details/145336446
版权

一、客户端数据分析:

spu@spu:~/code/pcap$ tcpdump -r client_all.pcap -X
reading from file client_all.pcap, link-type EN10MB (Ethernet)
17:58:56.346748 IP 192.168.1.178.55814 > 192.168.1.117.socks: Flags [S], seq 2615205588, win 64240, options [mss 1460,sackOK,TS val 2960015764 ecr 0,nop,wscale 7], length 0
        0x0000:  4500 003c 6c75 4000 4006 49cf c0a8 01b2  E..<lu@.@.I.....
        0x0010:  c0a8 0175 da06 0438 9be0 ded4 0000 0000  ...u...8........
        0x0020:  a002 faf0 7da0 0000 0204 05b4 0402 080a  ....}...........
        0x0030:  b06e 4194 0000 0000 0103 0307            .nA.........
17:58:56.354743 IP 192.168.1.117.socks > 192.168.1.178.55814: Flags [S.], seq 3996464281, ack 2615205589, win 65160, options [mss 1460,sackOK,TS val 902936060 ecr 2960015764,nop,wscale 7], length 0
        0x0000:  4500 003c 0000 4000 4006 b644 c0a8 0175  E..<..@.@..D...u
        0x0010:  c0a8 01b2 0438 da06 ee35 3499 9be0 ded5  .....8...54.....
        0x0020:  a012 fe88 6b5a 0000 0204 05b4 0402 080a  ....kZ..........
        0x0030:  35d1 b5fc b06e 4194 0103 0307            5....nA.....
17:58:56.354773 IP 192.168.1.178.55814 > 192.168.1.117.socks: Flags [.], ack 1, win 502, options [nop,nop,TS val 2960015772 ecr 902936060], length 0
        0x0000:  4500 0034 6c76 4000 4006 49d6 c0a8 01b2  E..4lv@.@.I.....
        0x0010:  c0a8 0175 da06 0438 9be0 ded5 ee35 349a  ...u...8.....54.
        0x0020:  8010 01f6 96b1 0000 0101 080a b06e 419c  .............nA.
        0x0030:  35d1 b5fc                                5...

spu@spu:~/code/containrc$ ./test/pcap_parse ../pcap/client_all.pcap
Capturing packets from ../pcap/client_all.pcap...
Source IP: 192.168.1.178, Destination IP: 192.168.1.117 syn 1 ack 0 check a07d seq 9be0ded4 ack_seq 0
Source IP: 192.168.1.117, Destination IP: 192.168.1.178 syn 1 ack 1 check 5a6b seq ee353499 ack_seq 9be0ded5
Source IP: 192.168.1.178, Destination IP: 192.168.1.117 syn 0 ack 1 check b196 seq 9be0ded5 ack_seq ee35349a

二、服务端数据分析:

spu@spu:~/code/pcap$ tcpdump -r server_all.pcap -X
reading from file server_all.pcap, link-type EN10MB (Ethernet)
17:58:47.812796 ARP, Request who-has 192.168.1.178 tell 192.168.1.1, length 46
        0x0000:  0001 0800 0604 0001 7439 8998 c0f9 c0a8  ........t9......
        0x0010:  0101 0000 0000 0000 c0a8 01b2 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
17:58:57.302898 IP 192.168.1.178.55814 > 192.168.1.117.socks: Flags [S], seq 2615205588, win 64240, options [mss 1460,sackOK,TS val 2960015764 ecr 0,nop,wscale 7], length 0
        0x0000:  4500 003c 6c75 4000 4006 49cf c0a8 01b2  E..<lu@.@.I.....
        0x0010:  c0a8 0175 da06 0438 9be0 ded4 0000 0000  ...u...8........
        0x0020:  a002 faf0 7da0 0000 0204 05b4 0402 080a  ....}...........
        0x0030:  b06e 4194 0000 0000 0103 0307            .nA.........
17:58:57.302957 IP 192.168.1.117.socks > 192.168.1.178.55814: Flags [S.], seq 3996464281, ack 2615205589, win 65160, options [mss 1460,sackOK,TS val 902936060 ecr 2960015764,nop,wscale 7], length 0
        0x0000:  4500 003c 0000 4000 4006 b644 c0a8 0175  E..<..@.@..D...u
        0x0010:  c0a8 01b2 0438 da06 ee35 3499 9be0 ded5  .....8...54.....
        0x0020:  a012 fe88 84a6 0000 0204 05b4 0402 080a  ................
        0x0030:  35d1 b5fc b06e 4194 0103 0307            5....nA.....
17:58:57.312199 IP 192.168.1.178.55814 > 192.168.1.117.socks: Flags [.], ack 1, win 502, options [nop,nop,TS val 2960015772 ecr 902936060], length 0
        0x0000:  4500 0034 6c76 4000 4006 49d6 c0a8 01b2  E..4lv@.@.I.....
        0x0010:  c0a8 0175 da06 0438 9be0 ded5 ee35 349a  ...u...8.....54.
        0x0020:  8010 01f6 96b1 0000 0101 080a b06e 419c  .............nA.
        0x0030:  35d1 b5fc                                5...

spu@spu:~/code/containrc$ ./test/pcap_parse ../pcap/server_all.pcap
Capturing packets from ../pcap/server_all.pcap...
Source IP: 192.168.1.178, Destination IP: 192.168.1.117 syn 1 ack 0 check a07d seq 9be0ded4 ack_seq 0
Source IP: 192.168.1.117, Destination IP: 192.168.1.178 syn 1 ack 1 check a684 seq ee353499 ack_seq 9be0ded5
Source IP: 192.168.1.178, Destination IP: 192.168.1.117 syn 0 ack 1 check b196 seq 9be0ded5 ack_seq ee35349a

这里服务端发送的syn ack数据包的check 与客户端收到的syn ack数据包的check 不知道为什么不同。

三 TCP 数据的传递

在Linux内核中,TCP数据的处理涉及多个层次的协议栈,从网络接口层到传输层,最终到达应用层。以下是基于搜索结果对Linux内核协议栈处理TCP数据的代码分析:

  1. 数据包接收路径(Ingress Path)
    当数据包到达网络接口卡(NIC)时,NIC会通过DMA将数据包复制到系统内存,并通过中断通知内核。内核随后分配一个sk_buff结构来保存数据包及其元数据。
    1.1 Ethernet 层
    内核首先处理以太网头部,验证校验和并应用MAC地址过滤。然后,内核通过ip_rcv()函数处理IP头部,确定数据包的目标地址是否是本机。如果是,内核会调用ip_local_deliver()函数,进一步处理数据包。
    1.2 IP 层
    在IP层,内核会检查IP头部,处理IP选项,并通过ip_route_input_noref()函数进行路由决策。如果数据包是针对本机的,内核会调用ip_local_deliver_finish()函数,剥离IP头部,并将数据包传递给传输层。
    1.3 传输层
    对于TCP数据包,内核会调用tcp_v4_rcv()函数。该函数会验证TCP头部,检查TCP校验和,并通过__inet_lookup_skb()函数查找对应的TCP套接字。找到套接字后,内核会将数据包放入套接字接收队列,并通知应用程序有新数据到达。
void tcp_data_ready(struct sock *sk)
{
	const struct tcp_sock *tp = tcp_sk(sk);
	int avail = tp->rcv_nxt - tp->copied_seq;

	if (avail < sk->sk_rcvlowat && !tcp_rmem_pressure(sk) &&
	    !sock_flag(sk, SOCK_DONE) &&
	    tcp_receive_window(tp) > inet_csk(sk)->icsk_ack.rcv_mss)
		return;

	sk->sk_data_ready(sk);
}
  1. 数据包发送路径(Egress Path)
    当应用程序通过套接字发送数据时,内核会构建协议头部,并将数据放入sk_buff结构中。
    2.1 传输层
    对于TCP数据,内核会调用tcp_sendmsg()函数。该函数会等待TCP连接建立,然后为数据段分配sk_buff结构,并将其放入套接字写队列。内核会根据拥塞控制策略决定是否发送数据,并设置重传定时器。
    2.2 IP 层
    内核会构建IP头部,并通过ip_queue_xmit()函数将数据包发送到网络接口。
    2.3 Ethernet 层
    最后,内核会构建以太网头部,并通过dev_queue_xmit()函数将数据包发送到NIC的TX队列。
  2. Socket 缓冲区(sk_buff)
    sk_buff是内核用于处理网络数据包的核心结构。它包含数据包的元数据和指向数据的指针。sk_buff结构允许内核高效地处理和修改数据包,而无需在内存中移动数据。
inquisiter
关注
TCP解析
isbn0123的博客
07-29 1755
TCP协议 首部格式 图释: 各个段位说明: 源端口和目的端口:  各占 2 字节.端口是传输层与应用层的服务接口.传输层的复用和分用功能都要通过端口才能实现,源端口号,主机该报文段是来自哪里;目标端口号,要传给哪个上层协议或应用程序 序号:  占 4 字节.TCP 连接中传送的数据流中的每一个字节都编上一个序号.序号字段的值则指的是本报文段所发送的数据的第一个字节的序号 确认号:  占 4 字节,是期望收到对方的下一个报文段的数据的第一个字节的序号,用作对另一方发送的tcp报文段的响应。其值
Linux——TCP协议(三次握手(从数据包名,双方连接状态,序管理分析),四次挥手(从数据包名,双方连接状态分析))
HanMeng的博客
07-10 795
文章目录:前言1. 三次握手1.1 从数据包名和连接双方状态分析三次握手1.2 序管理1.2.1 抓网络数据包1.2.2 分析TCP网络数据包1.2.3 分析TCP序号 前言 TCP协议的连接是面向连接,可靠传输,面向字节流的,而TCP之所以能保持可靠传输是因为三次握手和四次挥手 1. 三次握手 1.1 从数据包名和连接双方状态分析三次握手 首先我们通过数据包名和连接双方的连接状态来了解三次握手的过程 如下图所示 客户端在发送SYN数据包后客户端的状态变为SYN_SENT,当服务端接收到客户端发送的
TCP协议之Data解析
loveheronly的专栏
09-26 6179
TCP的数据如下【用wireshark抓的】: 可以看到该的十六进制数据为:00 00 00 1c 00 00 00 01 61 67 65 6e 74 31 31 31 31 31 00 31 32 33 00 41 41 43 43 00  如何解析该数据呢? 由于00 00 00 1c ----------1*16+12=28         00 00 00 01
Wireshark数据包捕获与分析 观察三次握手与四次挥手
Cx2008Lxl的博客
02-06 7875
本实验使用Wireshark抓取通信数据包。1)观察IP数据包的结构。2)观察TCP的三次握手与四次挥手过程。
HCIA——4:TCP三次握手与四次挥手详解篇一(计算机网络)
2301_79807099的博客
01-08 2043
为了对每次发送的数据量进行跟踪与协商,确保数据段的发送和接收同步,根据所接收到的数据量而确认数据发送、接收完毕后何时撤消联系,并建立虚拟连接。假如不进行第三次握手,在服务端对客户端的请求报文回应后,就会理所当然的认为连接已经建立,并保存了必要的资源,但是可能由于网络的原因或者其他原因客户端没有收到服务端的回应,那么客户端依然认为连接没有建立,所以并不会响应服务端的确认消息,那么服务端就会一直等待,如果这种情况大量发生,会造成服务器的崩溃。
eclipseini设置使用的jdk_系统安全篇(四)-如何升级JDK版本?
weixin_39724748的博客
11-20 299
最近在做项目时为保证系统安全,使用漏洞扫描工具对程序所在的设备进行安全漏洞扫描,发现了好多JDK的安全漏洞,为了对发现的这些漏洞进行修复,需要升级JDK版本。本章主要介绍如何升级JDK版本。第一步、从oracle官网下载JDK最新版本。第二步、卸载老版本Linux系统自带的JDK版本,可以直接使用rpm命令删除Linux操作系统自带的JDK版本。rpm -qa|grep jdk | xargs...
实验8 Wireshark工具的使用与TCP数据包分析实验.pdf
12-09
【实验8 Wireshark工具的使用与TCP数据包分析实验】 Wireshark是一个强大的网络分析工具,原名为Ethereal,它允许用户捕获并深入解析网络数据包,以便于理解网络通信的细节。Wireshark的核心是WinPCAP库,它...
用Java实现对IP/TCP协议数据包的拦截和分析
12-19
4. **TCP连接分析**: 对于TCP,我们可以跟踪连接的状态,比如是否建立了连接(三次握手),是否有数据传输,连接何时关闭(四次挥手)。通过监控SYN、SYN+ACK、ACK等标志,我们可以绘制TCP连接的生命周期。 5. ...
实验12Wireshark工具的使用与TCP数据包分析.rar
02-22
在本实验中,我们将深入探讨Wireshark的使用方法及其在TCP数据包分析中的应用。这个实验对于IT专业人士和学生来说是至关重要的,因为它提供了实践网络通信分析的宝贵机会。 首先,了解Wireshark的基本操作是至关...
8.1.3 TCP 的三次握手 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-04
Wireshark提供了一个特性,可以显示TCP数据包的相对序列号,但在分析时关闭此功能,以查看实际序列号,有助于理解握手过程。 在示例中,初始SYN由IP地址172.16.16.128的2826端口发送到212.58.226.142的80端口,...
tcp数据报头解析
冰糖葫芦的夏天的博客
06-10 1665
tcp数据报报头解析:         16bits:        源端口,即发送端的端口         16bits:        目标端口,即到达端的端口         32bits:        Seq,tcp数据报序号,tcp数据报太大超过ip数据报容许,需要分段,标记分段序号         32bits:        Ack number,回应序号,确认码   
计算机网络协议,TCP数据报的分析
愿你饱经冷暖,仍保纯真
02-02 7772
一、TCP协议的特点 TCP是面向连接的运输层协议;即应用程序在使用TCP协议通信之前,要先建立TCP连接,通信结束后必须释放已建立的TCP连接 每一条TCP连接只能有两个端点;即TCP是点对点(一对一)的通信 TCP提供全双工通信;即TCP的接收端和发送端都设有缓存,用来临时存放双方的通信数据;在发送时,应用程序将数据传送给TCP缓存后就可以做自己的事,TCP选择合适的时间把数据发送去;...
WireShark抓分析TCP三次握手过程,TCP报文解析_抓怎么看三次握手
最新发布
2401_84254364的博客
05-08 854
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
上位机模块之TCP数据解析
m0_51559565的博客
03-29 493
上位机通常会与PLC进行数据通讯在通讯时一般使用16进制与ACS2码进行发送,所以工具类中提供4个方法进行解析数据。1.将字符串集合转换为字节数组,集合为数字(十进制)3.将字符串指定区域的转换为ACS2,其他区域为数字。2.将字符串集合转换为字节数组,集合全为字母。使用方法,全部复制粘贴,创建对象即可使用。4.将字节数组的指定区域转换为字符串。对TCP首发数据提供4个方法。
TCP三次握手和四次挥手通俗理解
weixin_30352191的博客
04-02 437
一、TCP报文格式     在了解三次握手和四次挥手之前,先知道TCP报文内部含了哪些东西。 TCP报头中的源端口号和目的端口号同IP数据报中的源IP与目的IP唯一确定一条TCP连接。TCP在发送数据前必须在彼此间建立连接,这里连接意思是:双方需要内保存对方信息(例如:IP,Port…) 报文主要段的意思  ...
wireshark过滤表达式实例介绍
03-25 223
1、wireshark基本的语法字符\d          0-9的数字\D          \d的补集(以所以字符为全集,下同),即所有非数字的字符\w          单词字符,指大小写字母、0-9的数字、下划线\W          \w的补集\s          空白字符,括换行符\n、回车符\r、制表符\t、垂直制表符\v、换页符\f\S          \s的补集.     ...
wireshark抓分析——TCP/IP协议
热门推荐
weixin_34205826的博客
08-29 1万+
本文来自网易云社区当我们需要跟踪网络有关的信息时,经常会说“抓”。这里抓究竟是什么?抓到的又能分析什么?在本文中以TCP/IP协议为例,简单介绍TCP/IP协议以及如何通过wireshark抓分析。Wireshark 是最著名的网络通讯抓分析工具。功能十分强大,可以截取各种网络,显示网络的详细信息。Wireshark下载安装,略。注意,若在Windows系统安装Wireshar...
Android Tcpdump抓WireShark解码数据
sz66cm 学习随笔
10-13 1590
tcpdump H264 android WireShark
tcpdump抓及tshark解方法介绍
测试开发小记
02-01 2728
tshark是wireshark的命令行工具,通过shell命令抓取、解析报文。tcpdump是Linux系统下的抓工具。wireshark和tcpdump都共同使用 libpcap作为其底层抓的库,tshark也可以抓取报文。 有时候需要在linux系统或者ARM开发板中进行抓,使用tcpdump抓更加方便,在这种场景下,一般使用tcpdump进行抓,然后在Windows中使用wireshark来分析生成的文件,在自动化分析或者自动化测试中,可以使用tshark来进行解析。本文介绍使用tcp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值