wireshark验证TCP3次握手

最新推荐文章于 2025-05-25 00:15:34 发布
转载 最新推荐文章于 2025-05-25 00:15:34 发布 · 183 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://segmentfault.com/a/1190000014945850
文章标签:

#网络

本文通过Wireshark捕获的数据包详细解析TCP三次握手的过程,并验证理论与实践的一致性。展示了如何使用Wireshark进行网络流量分析,并深入解释了TCP头部字段的功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

wireshark过滤条件:ip.addr == 120.79.36.180
千万别写成 ip.dst == 120.79.36.180 ,这样子就看不到服务器给我们返回的包了
此时,在浏览器输入120.79.36.180:8080,敲下回车,然后查看wireshark的捉包;
在计算机网络课上,我们知道有下面的理论;现在我就从wireshark抓包中论证这个理论。

image_1cduvgvfd1fq4sd1thq1t5pht99.png-31.9kB

tcp 的头部

英文版

image_1cduvirj5ib613ct8gl12fret816.png-144.1kB

中文版

image_1cduvma3j1pjr6261kbte3311hb1j.png-150.9kB

上图中有几个字段需要重点介绍下:
(1)序号:Seq序号,占32位,用来标识从TCP源端向目的端发送的字节流,发起方发送数据时对此进行标记。
(2)确认序号:Ack序号,占32位,只有ACK标志位为1时,确认序号字段才有效,Ack=Seq+1。
(3)标志位:共6个,即URG、ACK、PSH、RST、SYN、FIN等,具体含义如下:
(A)URG:紧急指针(urgent pointer)有效。
(B)ACK:确认序号有效。
(C)PSH:接收方应该尽快将这个报文交给应用层。
(D)RST:重置连接。
(E)SYN:发起一个新连接。
(F)FIN:释放一个连接。
需要注意的是:
(A)不要将确认序号Ack与标志位中的ACK搞混了。
(B)确认方Ack=发起方Req+1,两端配对。

接下来我们来看wireshark捉到的包

第一次握手

书中写第一次握手的包是 syn = 1 , seq = x ,这里的x是任意的,

image_1cdv02vbh10r01pvu13dm1q061gvu20.png-269.4kB

我们从第一个捕捉到的包开始看,这个从source、destination中我们可以知道,这是我本地发送给120.79.36.180的一个tcp请求;再看下面的信息;
可以看到 Sequence number :0 还有 Flags.Syn = 1 ,这里跟书中的理论描述是一致的,这也印证了这是tcp第一次握手的包。

第二次握手

书中写第二次握手的包是 Syn = 1 , Ack = x + 1 , Seq = y ;
这里的Ack是确认序号,不是标记为的Ack,标记位的Ack的
用 1 表示第一次握手, 2表示第二次握手,3表示第三次握手
这里的 x 是第一次握手中的x,也就是第一次握手的Seq,说明第二次握手的Ack等于第一次握手的Sqe + 1,我们得到公式 2.Ack = 1.Seq + 1
而第二次握手的Seq变成了y,说明第二次握手的Seq是任意的。
image_1cdv0lock1t2i1cu1hh5sqpfvn2d.png-263.9kB
从上图中我们看到 2.Seq = 1 , 2.Ack = 1,印证了理论2.Ack = 1.Seq + 1

第三次握手

书中写第三次握手的包是Ack = y + 1 ,Seq = z ;
这说明第三次握手的包的Seq是任意的,3.Ack = 2.Seq + 1

我们再从下面的包中找到第一个从本地发给服务器的包,协议是TCP
image_1cdv21mi01sst1s7q87ks212m02q.png-284.4kB
从上图中,我们可以看到 3.Ack = 1, 而2.Seq = 0 也就是 3.Ack = 2.Seq + 1;从而印证了书中的理论。

参考:TCP三次握手

wireshark实践TCP的三握手
阿超的博客
08-12 2456
1 前言我是按照下面这篇文章的指导一步步操作下来的,所以我标记我的文章为转载。虽然我遇到了有些不一样的情况。环境浏览器:chrome wireshark:Version 2.2.0 (v2.2.0-0-g5368c50 from master-2.2) 源博客: http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html2 实践与
Wireshark图解TCP握手与四挥手
临江仙我亦是行人
04-15 1884
握手挥手 四挥手关闭连接,关闭连接的目的:防止数据丢失;与应用层交互 面试题1: 问:握手过程中可以携带数据吗? 答:从上面的过程可以发现第三握手是可以携带数据的,前两握手是不可以携带数据的 面试题2: 问:SYN攻击是占用服务端具体什么资源呢,SOCKET连接嘛? 答: 半连接队列,由net.ipv4.tcp_max_syn_backlog控制 ...
wireshark分析tcp协议(一)三握手【理论 + 实操】
qq_22841387的博客
09-21 4997
知识背景 **问题一:什么是tcp?** **问题二:什么是传输控制协议?** **问题三:为什么tcp是面向连接的,是可靠的?** 三握手操作步骤 1.确认当前活动的网络 2.确认你所需要分析的网站地址 3.过滤显示当前连接情况 4.访问网站,进行分析 5.第一握手——请求连接(syn) SYN_SENT 6.第二握手——服务器响应请求(syn,ack)SYN_RCVD 7.第三握手——服务器确认请求(ack)ESTABLISHED 8.验证数据传输——http报文
TCP握手:详解与原理
兔子的博客
05-25 2061
TCP握手是建立可靠连接的关键步骤,通过同步序列号、确认号和状态机的配合,确保了连接的可靠性和数据的完整性。三握手不仅防止了已失效的连接请求报文段突然又传送到了服务端,还同步了双方的初始序列号,为后续的数据传输奠定了基础。在实际应用中,三握手可能会面临 SYN 泛洪攻击等安全威胁,通过 SYN Cookie、限制 SYN 数据包速率、使用防火墙和 IDS 等技术,可以有效防御这些攻击。此外,通过优化技术如 TCP 快速打开(TFO)和并行连接,可以进一步提高连接建立的效率和数据传输的性能。
Wireshark抓包分析TCP的三握手
StruggleShu的博客
06-11 3759
今天学习了Wireshark工具,对于抓包有了极大的兴趣;特意通过抓包来加深一下TCP握手的过程,同时做以记录。 TCP报文段结构过滤规则介绍 网络中包含着许多的数据报文,但是许多的都不是我们需要的。网上给的大多数规则不够具体,通过查阅资料,用下面的过滤规则可以更快的抓取TCP握手的包. tcp.flags.syn == 0x02 || tcp.flags.ack == 0x02 &&
使用Wireshark浅析Tcp握手
weixin_42931631的博客
12-27 7336
用一些简单的实例,让大家真正了解三握手
使用wireshark抓包分析TCP握手
04-12
wireshark实际操作来分析tcp握手的整个过程,看完会对三握手有更深入了解
网络学习(三)TCP握手、四挥手,及Wireshark抓包验证
ACGkaka的博客
06-18 2466
网络学习(三)TCP握手、四挥手,及Wireshark抓包验证
wireshark抓包分析tcp握手挥手详解及网络命令
06-08
### Wireshark抓包分析TCP握手挥手详解及网络命令 #### 一、OSI与TCP/IP体系结构模型 在深入理解Wireshark抓包分析TCP握手及四挥手之前,我们首先需要了解OSI七层模型与TCP/IP四层/五层模型的基础...
WireShark抓包分析TCP握手过程,TCP报文解析_抓包怎么看三握手(2)
2401_84968222的博客
05-13 1019
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
具体说说基于wiresharktcp握手挥手怎么实现并举具体例子
最新发布
06-06
我们正在讨论如何使用Wireshark来观察和分析TCP握手与四挥手的过程。用户希望看到具体的示例和步骤。根据之前的上下文,用户已经获得了一些基本的代码示例和工具观察方法,现在需要更详细的Wireshark操作步骤...
wireshark tcp握手
08-03
ubuntu下自己写tcp协议(server.c,client.c,Makefile),通过tcpdump生成 .cap文件后,利用wireshark分析tcp握手的整个过程
tcp握手Wireshark实践
master-dragon的专栏
08-03 2224
linux下 tcpdump 命令监听端口生成xx.cap文件,用Wireshark打开如下tcp报文段 tcp连接 3握手客户端 端口:47668:0xba34服务端 监听端口:9877: 0x2695序号(seq):占4个字节。TCP连接传送的数据流中的每一个字节都被编上一个序号。首部中序号字段的值指的是本报文段所发送的数据的第一个字节的序号确认号(ack):占4个字节,是期望收到对方下一个
Wireshark抓包分析TCP协议:三握手和四挥手
NHB234567的博客
04-03 2928
面试中我们经常会被问到TCP协议的三握手和四挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试掌握这两个底层协议的工作原理是非常有必要的!UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下TCP协议。
网络安全 | 网络协议】结合Wireshark讲解TCP握手
等风来
12-25 6093
由上图可以看到,seq为1,表示客户端期望收到的下一个序列号是1;ack为1代表本机同意接受连接;syn为1并进入set状态,表示确认服务端(baidu.com)的同意(即确认服务器的序列号为0)在建立 TCP 连接时,需要进行三握手,防止因为网络延迟、拥塞等原因导致的数据丢失错误传输,确保双方都能够正常通信。由上图可以看到,seq为0,表示客户端的初始序列号为0;syn为1并进入set状态,说明本机请求建立连接并等待baidu.com的响应。由上图可以看到,seq为0,表示服务端的初始序列号为0;
Wireshark抓包验证TCP握手过程
码农的专栏
11-02 545
下载安装:Wireshark 发起请求: 配置抓取本地Tcp请求: Tcp3握手
Wireshark图解三握手
因上努力,果上随缘。但行好事,莫问前程。
08-08 2062
TCP是一种可靠的全双工传输方式,三握手保证了客户端和服务端的序列号都能保证确认。
WireShark抓包分析TCP握手过程,TCP报文解析
热门推荐
wangyuxiang946的博客
09-20 2万+
使用WireShark工具抓取TCP协议三握手的数据包,分析TCP握手过程,分析TCP报文中各个字段的作用。
Wireshark基本介绍和学习TCP握手
wjxbj的博客
05-25 164
        抓包工具wireshark用来获取网络数据封包,包括http,TCP,UDP,等网络协议包。         大学的时候就学习过TCP的三握手协议,那时候只是知道,虽然在书上看过很多TCP和UDP的资料,但是从来没有真正见过这些数据包, 老是感觉在云上飘一样,学得不踏实。有了wireshark就能截获这些网络数据包,可以清晰的看到数据包中的每一个字段。更能加深我们对网络协议...
wireshark tcp握手实验原理
05-14
<think>好的,用户想了解WiresharkTCP握手的实验原理。首先,我需要回忆一下TCP握手的基本过程,然后结合Wireshark的具体操作来解释如何捕获和分析这些数据包。 首先,TCP握手包括SYN、SYN-ACK和ACK三个步骤。在Wireshark中,用户需要设置合适的过滤条件,比如tcp.port == [目标端口],来捕获相关的数据包。然后,通过分析每个数据包的标志位和序列号,确认握手是否成功。 接下来,用户可能对每个步骤的具体细节有疑问,比如序列号的变化、标志位的含义,握手失败的可能原因。此外,可能还需要解释如何识别重传握手失败的情况,比如SYN包重传RST包的出现在握手过程中。 还要考虑用户可能的实验环境,比如是在本地测试还是远程服务器,不同的环境可能会影响捕获到的数据包。比如本地使用localhost可能不如远程服务器明显,者防火墙设置可能会阻止某些包。 另外,引用部分提到了NULL值的处理,这可能和TCP中的某些字段标志位无关,但需要确保不混淆。用户可能误输入了“null”,但根据上下文,应专注于TCP握手的内容。 最后,生成相关问题时,要围绕Wireshark的使用、TCP握手原理、常见问题及解决方法展开,帮助用户深入理解和应用。</think>### WiresharkTCP握手的实验原理分析 #### 一、TCP握手基础 TCP协议通过三握手建立可靠连接,具体流程为: 1. 客户端发送SYN包(SYN=1,seq=x) 2. 服务端返回SYN-ACK包(SYN=1,ACK=1,seq=y,ack=x+1) 3. 客户端发送ACK包(ACK=1,seq=x+1,ack=y+1) 在Wireshark中可通过`tcp.flags.syn == 1 and tcp.flags.ack == 0`过滤初始SYN包[^1]。 #### 二、实验实施步骤 1. **抓包环境搭建** - 使用`tcpdump -i any -w capture.pcap`命令抓取原始数据 - 建议设置显示过滤器:`tcp.stream eq 0`(查看特定连接) 2. **关键字段解析 $$ \begin{array}{|c|c|} \hline \text{Flags} & \text{二进制值} \\ \hline SYN & 00000010 \\ ACK & 00010000 \\ \hline \end{array} $$ 通过对比十六进制值(如0x12表示SYN-ACK)验证握手阶段[^2]。 3. **异常情况检测 - 重传SYN包(TCP Retransmission提示) - 收到RST包(表示连接拒绝) - 序列号异常(如非单调递增) #### 三、实验原理验证 通过Wireshark的"Follow TCP Stream"功能可完整查看握手过程,特别注意: - 初始序列号的随机性(防预测攻击) - 窗口缩放因子协商过程 - 支持SACK选项的协商 ```python # 简易TCP客户端示例(Python伪代码) import socket s = socket.socket() s.connect(("example.com", 80)) # 触发三握手 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值