用wireshark抓包来详细分析TCP三次握手和四次挥手过程

从wireshark抓包来分析TCP三次握手和四次挥手

建议首先了解三次握手和四次挥手的过程再分析网络包信息:计算机网络传输层—TCP连接的建立和终止(详解三次握手四次挥手)

首先开启wireshark监听网口,然后访问了google,输入简单的过滤规则进行过滤,抓包如下:
在这里插入图片描述

通过筛选主机的IP和TCP协议得到了初步筛选结果,可以看到简要信息中,标记处有SYN报文,SYN报文是三次握手的标志性报文,因此标记的三个报文就是三次握手报文,对此进行详细分析。

第一次握手报文分析:
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第1张图片
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第2张图片

也就是说,第一个包中SYN位置为1,表示要和目的主机同步序列号,同时附加有MSS信息以及窗口大小信息等

第二次握手信息分析:
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第3张图片
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第4张图片

第三次握手分析:
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第5张图片
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第6张图片

完成三次握手后,就建立了TCP连接,之后就可以正常的进行数据发送和接收。

当完成数据发送后,双方要结束对话,由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭,故需要经过四次挥手完成TCP的断开。

首先找到四次挥手报文,标志就是 FIN
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第7张图片
可以看到,源和目的分别发送了一个FIN报文,加上对应的ACK,就是四次挥手结束连接。
第一次挥手:
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第8张图片
第二次挥手:
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第9张图片
第三次挥手和第四次挥手与前两次基本一致:
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第10张图片
用wireshark抓包来详细分析TCP三次握手和四次挥手过程_第11张图片
至此,对TCP三次挥手和四次挥手的报文分析完成。

你可能感兴趣的:(计算机网络,网络,wireshark,TCP,三次握手,四次挥手)