Ethereal分析TCP三次握手

参考：

Wireshark分析三次握手

三次握手，四次握手

Ethereal使用方法以及相关实验分析

由上至下分为是：

1）各个协议的数据包列表（显示的是捕获到的每个数据包的大概信息）

2）某一具体协议的各个层次的数据分析（某个数据包的层次结构和协议分析）

3）帧的十六进制具体数据展示（数据包在物理层上传递的数据）

Frame---------------------------------------------------数据链路层帧

Ethernet-------------------------------------------------以太网帧

Internet Protocol--------------------------------------IP数据报

Transmission Control Protocol--------------------运输层协议TCP/IP

                                 首先是三次握手的示意图：

这里面我按照书上理解的是：（先上抓的包，根据SYN=1   SYN=1,ACK=1  ACK=1很容易找）

第一步：Client向Server发出连接请求报文段（第七版书上很详细，但是我认为先了解个大概再慢慢去看细节），其中同步位SYN=1（SYN=1表示这是一个连接请求或接受报文，SYN=1&&ACK=0->连接请求报文,SYN=1&&ACK=1->对方同意建立连接，在发出的响应报文中使用），同时初始序号seq=x。（1：seq即序号，指出本报文段所发送的数据的第一个字节的序号，我理解为当前所传数据第一个字节的序号。2：ACK表示确认ACK，只有ACK为1时，ack才有效。3：ack是确认号，期望收到对方下一个报文段的第一个数据字节的序号，我理解为当前所收到的数据尾巴+1）注意：SYN报文段（即SYN=1）不能携带数据，但是要消耗掉一个序号。（有了这句话，我们就能够理解接下来ack=x+1了,之前的请求连接虽然不带数据，但是会消耗序号，所以我们在下一次Server响应Client自然是期望所收的数据从x+1处开始，我们在第二步中同样不能携带数据，却依旧会消耗一个序号。）

以分析Client发出的连接请求报文段为例子进行分析：

 

33号帧，显示到达时间，帧到达时间，编号，长度，帧的内部各个层次所用到的协议是ETH,IP,TCP。

以太网帧首部14个字节，源地址是我的网卡，目的地址假设为一个网页，两个字节类型字段0x0800表示里面的数据是IP数据报

 

 

对着上图看即可

 

只看关键点：  这里面SYN=1， seq=x=0

 

第二步：Server收到Client的连接请求报文后，若同意，则向Client发送确认。此时SYN=1，ACK=1，ack=x+1,同第一步一样，选择一个初始序号seq=y,注意：此报文不携带数据，依旧消耗一个序号，TCP服务器进入SYN-RCVD（同步收到状态）。

 

确认中的SYN=1,ACK=1,seq=y=0,ack=x+1=1

第三步：Client收到Server的确认，还要向Server给出确认，ACK置1，ack=y+1,因为第二步中ack=y+1（因为第二步中给出的初始序号是seq=y,虽然不携带数据但是会占用一个序号，所以我们从ack=y+1这个头开始标记），由于第一步中seq=x,此时seq则为x+1了，此时TCP连接已经建立，Client进入ESTABLISHED（已建立连接）状态，当Server收到Client的确认后，也进入ESTABLISHED状态。（开始可粗略将Client的seq与Server的ack有数学上的关系来理解，书上的滑动窗口很好的解释了seq与ack的关系。）也可将第三步拆为两种，先发送ACK=1，ack=x+1的确认报文段，再发送一个同步报文段（SYN=1，seq=y），此时就变为了四报文握手。

 

向Server给出的确认中ACK=1，seq=x+1=1,ack=y+1=1。