利用科来网络分析进行三次握手协议分析

内容摘要

本文利用科来网络分析系统，对三次握手过程进行简单分析。三次握手详细内容自行百度。

定制过滤器

打开软件进入数据包界面如下：

首先，定制过滤器，只抓取源或目的地址为本机IP地址、HTTP和TCP协议的数据包。如下图：

开始抓包

点击开始按钮进行抓包，这里我打开我们学校的教务处网站（http://jwc.zjnu.edu.cn/）
很短时间内，抓取到的数据包就达到了上千个，找到最早与教务处网站建立连接的数据包，如下：

为方便叙述，现设本地客服端为A机，教务处网站的服务器为B机。

TCP三次握手分析

上图第36条数据包TCP报文详细信息如下，该条数据包是三次握手中第一次交换TCP报文，A向B发出连接请求报文段，这时首部中的同步位SYN=1，同时选择一个初始序号seq1=4282510771。

第38条数据包TCP报文详细信息如下，该条数据包是三次握手中第二次交换TCP报文，B收到连接请求报文段后，如同意建立连接，则向A发送确认。在确认报文段中，确认位ACK=1，同步位SYN=1，确认号ack1=seq1+1=4282510772，同时B为自己选择一个初始序号seq2=1672844581。

第40条数据包TCP报文详细信息如下，该条数据包是三次握手中第三次交换TCP报文，A收到B的确认后，再次向B给出确认。置ACK=1，确认号ack2=seq2+1=1672844582，序列号seq3=seq1+1=4282510772。

至此，A进入ESTABLISHED状态，B再次接收到A的确认后也进入ESTABLISHED状态。

随后的若干条数据包如下，A的若干个端口均通过三次握手，与B建立起了TCP连接。然后便开始发送html文件，使用应用层HTTP协议。

查看第59条数据包所携带数据如下，该数据包为实际包含数据的第一条数据包。

查看教务处网站源码如下：

可以发现，第59条数据包发送的内容正是教务处网站html文件开头内容。
第59条数据包TCP报文详细信息如下，该条数据包总大小为1518字节，数据大小为1460字节，为B向A发送的数据。

第60条数据包TCP报文详细信息如下，该条数据包总大小为58字节，为A向B发送的确认信息。

第61条数据包TCP报文详细信息如下，该条数据包总大小为1518字节，为B向A发送的数据。

接受方一般都是采用累积确认的方式，所以在图8中，B向A发送若干数据包后，A才会向B发送一个确认数据包。