使用WireShark抓包分析TCP_IP协议

news2025/1/10 3:05:15

文章目录

  • 前言
  • 一、TCP/IP协议
    • 1.1 OSI分层
    • 1.2 TCP/IP 分层
  • 二、抓包
    • 2.1 Socket代码
    • 2.2 过滤包
  • 三、分析
    • 3.1 TCP首部
    • 3.2 实战分析
    • 3.3 三次握手
    • 3.4 四次挥手
  • 参考

前言

TCP/IP 协议 是一组用于互联网通信的协议。它由两个主要协议组成:传输控制协议(TCP)和互联网协议(IP)。TCP/IP协议是互联网上最常用的协议之一,它使得不同类型的计算机和网络设备能够相互通信。

  • TCP负责将数据分割成数据包,并确保它们在网络上的传输。
  • IP负责将数据包从源地址路由到目标地址。

计算机网络(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用Wireshark 抓包分析 TCP/IP 协议,用实践来验证理论。

  • Wireshark是一个网络协议分析器,可以帮助你抓取和分析网络数据包,它是一个开源软件,可以在多个操作系统上
    运行。
  • Wireshark 最新版下载地址:https://www.wireshark.org。

一、TCP/IP协议

1.1 OSI分层

OSI 是 OSI/RM(Open Systems Interconnecation Reference Model)开放互联基本参考模型的简称,由 ISO 于 1983 年制定,形成正式文件。

OSI 分层是一种网络架构模型,它将网络通信分为七个不同的层次。每个层次都有自己的功能和任务。下面是由上到下每个层次的简要介绍:

序号层级名称
1应用层负责提供各种应用程序,例如电子邮件、文件传输和远程登录等。
2表示层负责将数据转换为应用程序可以理解的格式,它定义了如何在不同的系统之间交换数据。
3会话层负责建立、管理和终止会话,它定义了如何在两个节点之间建立连接。
4传输层负责将数据分割成数据包,并确保它们在网络上的传输。它还提供了可靠的端到端传输服务。
5网络层负责将数据包从源地址路由到目标地址,它定义了如何在不同的网络之间传输数据包。
6数据链路层负责将数据包从一个节点传输到另一个节点,它定义了如何在物理介质上传输数据包。
7物理层负责将数据从一个节点传输到另一个节点,它定义了电气、光学和机械接口的规范。

虽然标准已经制定了,但是由于一些缺陷,现今规模最大的、覆盖全世界的因特网并未使用 OSI 标准,而是使用 TCP/IP 标准。

1.2 TCP/IP 分层

相比OSI 7层模型,TCP/IP协议只有4层,它将部分层进行了合并。

通常讲的TCP/IP协议是指TCP/IP协议簇,按照分层可以分为以下部分

层级协议名称
应用层HTTP、FTP、SMTP、POP3、IMAP、Telnet、SSH、DNS
传输层TCP、UDP
网络层IP、ICMP、ARP、RARP
网络接口层Ethernet、Token Ring、FDDI、PPP

下面抓包使用的 WireShark 用的就是TCP/IP标准。

二、抓包

2.1 Socket代码

使用 Java 编写服务端和客户端代码, 通过调用 Socket API 实现两者通讯。

Socket 即套接字,是应用层 与 TCP/IP 协议族通信的中间软件抽象层,表现为一个封装了 TCP / IP协议簇 的编程接口(API),ServerSocket 是使用 TCP 协议,如果想使用 UDP 协议,可以使用 DatagramSocket。

WireShark 需要管理员权限启动,默认不能查看不走网卡的 loopback,需要下个 npcap。

  1. Server.java

    public class Server {
        public static void main(String[] args) throws IOException {
            ServerSocket server = new ServerSocket(10007);
            System.out.println("服务器已启动,等待客户端连接...");
            Socket socket = server.accept();
            System.out.println("客户端已连接!");
            BufferedReader br = new BufferedReader(new InputStreamReader(socket.getInputStream()));
            String str = br.readLine();
            System.out.println("客户端说:" + str);
            PrintWriter pw = new PrintWriter(socket.getOutputStream());
            pw.println("欢迎您!");
            pw.flush();
            socket.close();
        }
    }
    
  2. Client.java

    public class Client {
        public static void main(String[] args) throws IOException, InterruptedException {
            Socket socket = new Socket("localhost", 10007);
            BufferedReader br = new BufferedReader(new InputStreamReader(System.in));
            String str = br.readLine();
            PrintWriter pw = new PrintWriter(socket.getOutputStream());
            pw.println(str);
            pw.flush();
            BufferedReader br2 = new BufferedReader(new InputStreamReader(socket.getInputStream()));
            String str2 = br2.readLine();
            System.out.println("服务器说:" + str2);
            socket.close();
        }
    }
    

2.2 过滤包

  1. 使用管理员权限开启 Wireshark

  2. 选择对应的网卡接口
    loopback.png

  3. 开启过滤

    tcp_10007.png

  4. 启动Server,再启动Client,发送hello

  5. 已过滤的包

    tcp_10007_after.png

三、分析

3.1 TCP首部

TCP 首部如下所示:

3.2 实战分析

  1. 源端口和目的端口,各占2个字节

    tcp_ip_01.png

  2. 序号,占4个字节

    tcp_ip_02.png

  3. 确认号,占4个字节

    tcp_ip_03.png

  4. 数据偏移,占4位,半个字节

    tcp_ip_04_数据偏移.png

  5. 保留,占6位

    tcp_ip_05_保留.png

  6. flag 控制位: URG/ACK/PSH/RST/SYN/FIN,占6位

    tcp_ip_06_标志位.png

  7. 窗口,占2个字节

    tcp_ip_07_窗口.png

  8. 检验和,占2个字节

    tcp_ip_08_检验和.png

  9. 紧急指针,占2个字节

    tcp_ip_09_紧急指针.png

  10. 选项,字节数不固定,下面是12字节

    tcp_ip_10_选项.png

3.3 三次握手

tcp 建立连接的最先三个包就是握手的三个包,下面会从理论结合实际抓包分析三次握手具体流程

  1. 客户端发送给服务端

    客户端在建立TCP连接时,会启用一个随机的序列号,并将其值存入相互交换的第一个报文段的TCP头部的序列号字段,后续TCP报文段的序列号字段值将依次递増

    在以下抓包过程中,可以发现 0x4cf2bfaa 就是第一个包的随机序列号,而且 wireshark 已经标注相对序号Seq为0,就是第一个包.

    而且TCP 客户端在发送时需要将 SYN 设置为1,此时客户端进入SYN-SENT 状态

    tcp_ip_11_建立连接.png

  2. 服务端发送给客户端

    服务端接到报文后,同意建立连接后向客户端发送确认报文,此报文需要将 SYN 和 ACK 都设置为1,ack 设为发送过来的 seq+1,并且为自己启用一个随机序号,在报文中,可以发现随机序号为 0x890b1b78 ,此时服务器进入到 SYN-RCVD 状态

    tcp_ip_11_建立连接2.png

  3. 客户端发送给服务端

    客户端收到后还需要进行确认,再次发送报文,这次报文将 ACK 设为1,序号设为之前自身序号+1=0x4cf2bfab, 将 ack 设为服务器发送过来的序号+1=0x890b1b79,当发送过去后,进入ESTABLISHED状态,服务器接收到后也会进入ESTABLISHED状态

    tcp_ip_11_建立连接3.png

以上过程可以总结如下,在上述例子中 x 实际为 0x4cf2bfaa,y 实际为 0x890b1b78

客户端 服务器 CLOSED CLOSED LISTEN 发送SYN=1,seq=x SYN-SENT 返回SYN=1,ACK=1,seq=y,ack=x+1 SYN-RCVD 回复ACK=1,seq=x+1,ack=y+1 ESTABLISHED ESTABLISHED 客户端 服务器 TCP三次握手

3.4 四次挥手

从书上226页可以得到的图表如下:

建立连接的服务端和客户端都可以释放连接,双方需要进行四次挥手,上面 java 代码经抓包发现是服务端先释放连接

  1. 服务端发送FIN报文

    发送FIN=1, ACK=1, seq=u(此次抓包u实际为0x91dd5af1)。

    书上记载 u是前面已发送过的数据的最后一个字节的序号加1, 这个不太明白,还有实际ACK也被置为1,是否必须?后续再研究

    tcp_ip_12_释放连接1.png

  2. 客户端发送ACK=1,seq=v(此次抓包实际seq为0x6a067550),ack为u+1(此次抓包实际为0x91dd5af2)

    v是前面已发送过的数据的最后一个字节的序号加1。

    tcp_ip_12_释放连接2.png

  3. 客户端接着发送FIN=1,ACK=1,seq=w(此次抓包实际为0x6a067550),ack=u+1(此次抓包实际为0x91dd5af2)

    此处的w实际抓包发现w和v一样

    tcp_ip_12_释放连接3.png

  4. 服务端发送ACK=1,seq=u+1(此次抓包实际为0x91dd5af2),ack=w+1(此次抓包实际为0x6a067551 )

    tcp_ip_12_释放连接4.png

上述过程可以总结如下,由于客户端和服务器都可以发送FIN包释放连接,下面图表由客户端释放连接

客户端 服务器 ESTABLISHED ESTABLISHED 发送FIN=1,seq=u FIN-WAIT-1 返回 ACK=1,seq=v,ack=u+1 FIN-WAIT-2 CLOSE-WAIT 返回 FIN=1,ACK=1,seq=w,ack=u+1 LAST-ACK 回复ACK=1,seq=u+1,ack=w+1 CLOSED TIME-WAIT 等待2MSL后,CLOSED 客户端 服务器 TCP四次挥手

参考

  1. 计算机网络(第6版,谢希仁编著)
  2. OSI七层模型
  3. TCP 协议转让层规格
  4. TCP的三次握手和四次挥手

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/462584.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【视频课程】算法工程师需要的ChatGPT大模型算法理论与实践课程!非粗浅科普...

前言 自从2022年11月ChatGPT发布之后,迅速火遍全球。其对话的交互方式,能够回答问题,承认错误,拒绝不适当的请求,高质量的回答,极度贴近人的思维的交流方式,让大家直呼上瘾,更是带火…

【Java】面试常问知识点(计算机网络方面)

计算机网络 OSI七层模型 应用层 (Application): 网络服务与最终用户的一个接口。 协议有:HTTP FTP TFTP SMTP SNMP DNS 表示层(Presentation Layer): 数据的表示、安全、压缩。(在五层模型里面已经合并到了应用层) 格式有,JPEG、ASCll、DECOIC、加密格式等 会…

# VGA协议实践

VGA协议实践 文章目录 VGA协议实践1.VGA介绍2. ALTPLL3. 字模与图像生成4. ROM5. 代码5.1 vga驱动模块5.2 显示数据生成模块5.3 按键消抖模块5.4 顶层模块5.5 TCL绑定引脚代码 6. 效果7.总结8.参考文章 1.VGA介绍 VGA:Video Graphics Array视频图形阵列是IBM于1987年提出的一个…

【react全家桶学习】react中函数组件和类式组件(超详/必看)

函数式组件定义及特点 定义&#xff08;核心就是一个函数&#xff0c;返回虚拟dom&#xff09;&#xff1a; import React from reactexport default function index() {return <div>index</div> }特点&#xff1a; 1、适用于【简单组件】的定义2、是一个函数&a…

macOS与Ubuntu困惑解答

homebrew&#xff08;报管理器&#xff09;、yaml、apt-get、apt是包管理工具&#xff1b; zsh、bash都是解释器&#xff0c;是shell语言的解释器&#xff0c;都是服务于shell语言的&#xff0c;它们之间的区别是&#xff0c;zsh能够很好的兼容bash&#xff0c;zsh更优雅&…

web端导航菜单系列

导航菜单属于导航中最常规的一种导航模式&#xff0c;它有2个显而易见的用途&#xff1a;帮助我们找到想要的任何东西和告诉我们现在身在何处。帮助用户在不同页面之间跳转找到目标功能。 导航作为网站或者平台的骨架&#xff0c;是产品设计中不容忽视的一环。结合自身对于导航…

java第一课

常用dos命令 第一个e&#xff1a;加上回车&#xff0c;直接切换到e盘目录 看e盘文件的文件夹 dir加回车 进入文件夹 cd 文件夹名称加回车 进入文件夹就是 cd加文件夹名称 cd 加一个文件夹的名称就是进入这个文件夹 回退就是cd.. (这样子是单级目录的回退) 进入很多个就是进入…

必备装机软件,软件推荐

https://www.den4b.com/download/renamer/installer?key9d97aa7096681c8342442f75e34f7d5a8b13551ee3283956323516c81b1fe91b 官网https://www.den4b.com/ 从不同的文件夹中选择文件并将它们添加到工作区域。 a、 更改添加文件夹按钮的默认行为(可选步骤) b、添加单独选择的文…

数据库基础篇 《14.视图》

数据库基础篇 《14.视图》 1. 常见的数据库对象 对象描述表(TABLE)表是存储数据的逻辑单元&#xff0c;以行和列的形式存在&#xff0c;列就是字段&#xff0c;行就是记录数据字典就是系统表&#xff0c;存放数据库相关信息的表。系统表的数据通常由数据库系统维护&#xff0…

Ubuntu运行.sh文件

一、运行.sh文件 &#xff08;1&#xff09;使用sh testsh执行 &#xff08;2&#xff09;使用bash testsh 执行 &#xff08;3&#xff09;使用点 执行 &#xff08;4&#xff09;使用source执行./sh 文件开头***的含义&#xff1a; #!/bin/sh     以下的代码由/…

Redis 的 Protected Mode 解读

官方配置文件自带的注释&#xff1a; Protected mode is a layer of security protection, in order to avoid that Redis instances left open on the internet are accessed and exploited.When protected mode is on and if:1) The server is not binding explicitly to a …

服务(第十四篇)lvs的高可用负载均衡

Keepalived 是一个基于VRRP协议来实现的LVS服务高可用方案&#xff0c;可以解决静态路由出现的单点故障问题。 在一个LVS服务集群中通常有主服务器&#xff08;MASTER&#xff09;和备份服务器&#xff08;BACKUP&#xff09;两种角色的服务器&#xff0c;但是对外表现为一个虚…

Qt连接MySql数据库(本地和远程数据库均可)

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 三种方法方法一 略方法二 使用ODBC设置mysql为数据源库1. 添加ODBC数据源&#xff0c;在控制面板中找到管理工具&#xff0c;其中有ODBC数据源 64位的&#xff0c;打…

美颜sdk与人脸识别技术的结合:为智能化时代注入美感

在当今的智能化时代&#xff0c;人脸识别技术已经成为了很多应用的核心。而在这些应用中&#xff0c;美颜功能也逐渐成为了用户所追求的重要特性之一。因此&#xff0c;美颜sdk的出现和发展&#xff0c;为人脸识别技术注入了更多的美感。 一、定义和作用 美颜sdk可以对人脸进…

Django框架之模板基本使用

本篇文章主要讲解Django 3.0框架配置模板路径&#xff0c;并使用视图和模板结合实现一些小功能。 概述 模板是html页面&#xff0c;可以根据视图中传递过来的数据进行填充。 在project中创建templates目录和应用模板目录 如templates/myapp 配置模板路径 修改settings.py文…

四数相加 II

给你四个整数数组 nums1、nums2、nums3 和 nums4 &#xff0c;数组长度都是 n &#xff0c;请你计算有多少个元组 (i, j, k, l) 能满足&#xff1a; 0 < i, j, k, l < n nums1[i] nums2[j] nums3[k] nums4[l] 0 来源&#xff1a;力扣&#xff08;LeetCode&#xff0…

Java 网络IO编程总结 nio netty原理 bio nio aio io多路复用 事件驱动 信号驱动 汇总总结

目录 ​编辑 io 多路复用 NIO 多线程 和 io多路复用区别 &#xff1a; Netty 操作流程 看了众多精简总结 Netty Bio Nio Aio Io多路复用 事件驱动 信号驱动 io 多路复用 I/O 多路复用模型是利用select、poll、epoll可以同时监察多个流的 I/O 事件的能力&#xff…

【备忘录设计模式详解】C/Java/JS/Go/Python/TS不同语言实现

简介 备忘录模式&#xff08;Memento Pattern&#xff09;是一种结构型设计模式。这种模式就是在不破坏封装的条件下&#xff0c;将一个对象的状态捕捉(Capture)住&#xff0c;并放在外部存储起来&#xff0c;从而可以在将来合适的时候把这个对象还原到存储起来的状态。备忘录…

接口冒烟测试方法

接口冒烟测试方法 今年遇到了几个问题&#xff0c;与接口的功能和性能相关&#xff0c;恰巧最近公司也在组织以冒烟测试为主题的活动&#xff0c;于是乎突发奇想&#xff0c;寻思着能否将接口测试与冒烟测试结合起来&#xff0c;发掘一些新的接口测试思路与方法。 平时对接口…

SpringBoot创建与运行

文章目录 一、SpringBoot是什么&#xff1f;二、SpringBoot项目创建IDEA创建SpringBoot项目网页版创建SpringBoot项目项目目录介绍输出Hello SpringBoot 一、SpringBoot是什么&#xff1f; 如果我们说Spring的诞生是为了简化Java程序开发的&#xff0c;那么SpringBoot的诞生是为…