Wireshark抓包神器,TCP包详解,你掌握了吗?
- 内容介绍
- 文章标签
- 相关推荐
Wireshark抓包神器,TCP包详解,你掌握了吗?
上一篇中通过宏哥的介绍和讲解, 小伙伴或者童鞋们应该知道宏哥今天要讲解和介绍的内容在哪里了吧,没错就是介绍那个OSI七层模型的传输层那个。主要原因是只有它建立主机端到端的连接如:TCP、UDP。说实话, 可以。 网络这个东西真的是太深奥了有时候宏哥自己都觉得头大,但是没办法,为了生活,为了技术,咱们还得硬着头皮上,对吧?今天咱们就来好好唠唠这个Wireshark,还有那个让人又爱又恨的TCP协议。
在开始今天的分享之前,我想先推荐一篇非常精彩的文章。这篇文章从最基础的知识介绍和讲解ZooKeeper 基础知识, 而且讲解的也比较全面图文并茂很好理解,令人眼前一亮。文章就是《ZooKeeper 基础知识》🚀🌟🚀🌟🚀🌟。虽然跟咱们今天讲的Wireshark没啥大关系,但是多学点东西总是好的,技多不压身嘛,你说是不是?
一、初识Wireshark:不仅仅是抓包那么简单
Wireshark网络抓包工具使用WinPCAP作为接口,直接与网卡进行数据报文交换,可以实时检测网络通讯数据,检测其抓取的网络通讯数据快照文件,通过图形界面浏览这些数据,可以查看网络通讯数据包中每一层的详细内容。它的强大特性:比方说包含有强显示过滤器语言和查看TCP会话重构流的能... 网络中不论传输什么,到头来通过物理介质发送的都是二进制,类似于0101的Bit流。 对,就这个意思。 纯文本中文通常采用UTF-8编码,英文用ASCII编码;非纯文本音频、 视频、图片、压缩包等按不同编码封装好,转换成二进制传输。在IP网络中,通过Wireshark抓包,获取的原始数据都是二进制。 哪种网络情况...
很多初学者刚打开Wireshark的时候, 整个人都是懵的,那一堆乱七八糟的数据流,简直就像天书一样。但是别怕,宏哥在这里。按照以前的讲解和分享路数,宏哥今天就应该从外观上来讲解WireShark的界面功能了。 踩雷了。 软件界面由上到下依次是标题栏、 主菜单栏、主菜单工具栏、显示过滤文本框、打开区、最近捕获并保存的文件、捕获区、捕获过滤文本框、本机所有网络接口、学习区及用户指南等。是不是听起来就很复杂?其实用习惯了就好了。
对吧? 1.简介 WireShark的强大之处就在于不用你再做任何配置就可以抓取http或者https的包。今天宏哥主要是讲解和分享如何使用WireShark抓包。 2.运行Wireshark 安装好 Wireshark 以后,就可以运行它来捕获数据包了。方法如下: 1.在 Windows 的 开始 菜单中 1.简介 WireShark的强大之处就在于... 2.在捕获选项中:勾选WLAN网卡或者其他网卡。点击开始。启动抓包。如下图所示: 3.点击开始后wireshark处于抓包状态中。由于本地计算机在浏览网站等一系列操作时 以太网 接口的数据将会被 Wiresh...
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。 wireshark是开源软件,可以放心使用。可以运行在Windows和Mac OS上。对应的,linux下的抓包工具是 tcpdump。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 1.打... 7.Wireshark安装文件自带Npcap最新版本,选择安装,默认即可!点击“Next”,如下图所示: 8.USBPcap是一个开源的USB数据包抓取工具。如果你有需要也可以勾选安装,否则保持默认即可!点击“Install”,开始安装...,如下图所示...
闹乌龙。 为了让大家更清楚市面上常见的抓包工具, 宏哥特意整理了一个表格,大家看看就明白了:
| 工具名称 | 主要平台 | 特点 | 适用场景 |
|---|---|---|---|
| Wireshark | Windows/Mac/Linux | 开源、功能最全、协议解析强大 | 全方位网络故障排查、协议分析 |
| Fiddler | Windows | 专注于HTTP/HTTPS,轻量级 | Web开发调试、抓取网页数据 |
| Tcpdump | Linux | 命令行工具,无图形界面 | 服务器后台抓包,资源占用低 |
| Charles | Windows/Mac/Linux | 代理抓包,支持弱网模拟 | 移动端APP抓包、接口测试 |
二、TCP协议详解:那些让人头秃的字段
我无法认同... 好了说完了工具,咱们得回到正题。TCP是工作在传输层,也就是网络层上一层的协议。传输控制协议是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能。用户数据报协议是同一层内另一个重要的传输协议。
TCP收到上一层的数据包后会加上TCP头并且进行一些特殊处理后再传递给网络层。 我可是吃过亏的。 TCP是面向连接、可靠的传输协议,其报文格式较复杂。TCP报文的格式如下:
| 源端口 | 目的端口 |
| 序号 |
| 确认序号 |
| 数据偏移 | 保留 | 标志位 | 窗口大小 |
| 校验和 | 紧急指针 |
| 选项 |
| 数据 |看着这个图是不是有点晕?没事,宏哥一个个给你解释。咱们先从最基础的字段说起,也是没谁了...。
不忍直视。 源端口和目的端口源端口,标识哪个应用程序发送。目的端口,标识哪个应用程序接收。这个很好理解,就像寄快递,寄件人和收件人得写清楚吧?不然数据包发过去谁知道给谁处理啊。
欧了! 序号Sequence Number。序号字段。TCP链接中传输的数据流中每个字节都编上一个序号。序号字段的值指的是本报文段所发送的数据的第一个字节的序号。这个是为了保证数据的有序性,毕竟网络传输不靠谱,先发的后到也是常有的事。
确认序号Acknowledgment Number。确认号,是期望收到对方的下一个报文段的数据的第1个字节的序号,即上次已成功接收到的数据字节序号加1。 一阵见血。 只有ACK标识为1,此字段有效。确认序号有效标识。只有当ACK=1时确认号字段才有效。当ACK=0时确认号无效。
性价比超高。 数据偏移Data Offset。数据偏移, 即首部长度,指出TCP报文段的数据起始处距离TCP报文段的起始处有多远,以32比特为计算单位。最多有60字节的首部,若无选项字段,正常为20字节。
保留Reserved。保留,必须填0。6比特。这个字段就是给以后留着用的,现在咱们用不到,老老实实填0就行,对吧?。
什么鬼? 为了方便大家记忆这些字段, 宏哥又做了一个表格,大家仔细看哦:
| 字段名 | 长度 | 说明 |
|---|---|---|
| Source Port | 16比特 | 源端口,标识发送进程 |
| Destination Port | 16比特 | 目的端口,标识接收进程 |
| Sequence Number | 32比特 | 序号 |
| Acknowledgment Number | 32比特 | 确认序号 |
| Data Offset | 4比特 | 数据偏移,首部长度 |
| Reserved | 6比特 | 保留字段,必须为0 |
| Flags | 6比特 | 标志位 |
| Window | 16比特 | 窗口大小,用于流量控制 |
| Checksum | 16比特 | 校验和 |
| Urgent Pointer | 16比特 | 紧急指针 |
三、标志位:TCP的大脑
接下来是重头戏,标志位。这可是TCP控制的核心, 试着... 一共6个比特,每个位都有它的作用。
大胆一点... URG 紧急指针有效标识。它告诉系统此报文段中有紧急数据,应尽快传送。紧急指针,只有当URG标志置1时紧急指针才有效。TCP的紧急方式是发送端向另一端发送紧急数据的一种方式。紧急指针指出在本报文段中紧急数据共有多少个字节。
ACK 确认序号有效标识。只有当ACK=1时确认号字段才有效。 栓Q了... 当ACK=0时确认号无效。这个位在连接建立后一般都是1的。
我整个人都不好了。 PSH 标识接收方应该尽快将这个报文段交给应用层。接收到PSH = 1的TCP报文段, 应尽快的交付接收应用进程,而不再等待整个缓存都填满了后再向上交付。这就好比你在网上买东西,卖家给你发了顺丰特快,就是让你赶紧收到货。
RST 重建连接标识。当RST=1时表明TCP连接中出现严重错误,必须释放连接,然后再重新建立连接。这个位一出,大体上就是连接断了得重来。
SYN 同步序号标识,用来发起一个连接。SYN=1表示这是一个连接请求或连接接受请求。 呵... 这个在三次握手里非常关键。
FIN 发端完成发送任务标识。用来释放一个连接。FIN= 往白了说... 1表明此报文段的发送端的数据已经发送完毕,并要求释放连接。
除了这些,还有几个字段也很重要。
窗口Window。窗口:TCP的流量控制,窗口起始于确认序号字段指明的值,这个值是接收端正期望接收的字节数。窗口最大为65535字节,破防了...。
校验和Checksum。校验字段,包括TCP首部和TCP数据,是一个强制性的字段,一定是由发端计算和存储,并由收端进行验证。在计算检验和时要在TCP报文段的前面加上12字节的伪首部,躺平。。
紧急指针Urgent Pointer。紧急指针, 小丑竟是我自己。 只有当URG标志置1时紧急指针才有效。
选项Options。选项字段。TCP协议一开始只规定了一种选项,即最长报文段长度,又称为MSS。 是不是? MSS告诉对方TCP“我的缓存所能接收的报文段的数据字段的最大长度是MSS个字节”。
填充Padding。填充字段,用来补位,使整个首部长度是4字节的整数倍。
数据data。TCP负载。
全双工是一种通信方式, 指通信的双方可以一边发送和接收数据,而不需要像半双工那样在发送和接收之间切换。在全双工通信中,数据可以在两个方向上一边传输,所以呢通信速度更快,效率更高。TCP就是全双工的,搞一下...。
四、实战演练:三次握手与抓包分析
光说不练假把式。咱们来看看实际抓包是什么样子的。在此之前,宏哥已经介绍和讲解过Wireshark的启动界面。但是很多初学者还会碰到一个难题,就是感觉wireshark抓包界面上也是同样的问题很多东西不懂怎么看。其实还是挺明了的宏哥今天就单独写一篇对其抓包界面进行详细地介绍和讲解一下。 2.Wireshak抓包界面概览 通过上一篇我... 好了,今天主要是关于Wireshark抓包界面详解。
到此宏哥就将Wireshark抓包界面讲解和分享完了,是不是很简单了。
3.停止wireshark抓包。在wireshark的过滤器中,输入ip.addr == 39.156.66.10来过滤发送给百度的请求。可以得到如下过滤后的报文。如下图所示: 4.从上图我们可以清楚地看到前三条是TCP三次握手建立连接的报文,中间三个是包括一个HTTP请求,一个TCP的确认报文和一个HTTP响应报文,响应报文的TCP确认报文和第一次挥手被放在了同一个报文里,我无法认同...。
后面的四条是TCP四次挥手断开连接的报文,深得我心。。
TCP连接必须要经历三次握手, 而释放一个TCP连接需要四次握手,这是由TCP的半关闭特性造成的。主要原因是TCP连接时全双工的,所以呢,需要TCP两端要单独施行关闭。需要留意的是 主动关闭的一端在发送FIN之后依然还能正常接收对方的数据,只是通知对方它已经没有数据需要发送了同理,被动关闭的一端在收到FIN之后仍然可以发送数据,直到它自身同样发出FIN之后才停止发送数据。
1.简介 按照计划今天就要讲解和分享TCP协议的三次握手和四次挥手以及使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及 TCP三次握手 。通过抓包和分析数据包来理解TCP/IP协议,进一步加深对TCP包的理解和认识。 2.TCP连接的建立 2.1通俗易懂 保姆级系列教程-玩转Wireshark抓包神器教程-Wireshark的TCP包详解-下篇1.简介 按照计划今天就要讲解和分享TCP协议的三次握手和四次挥手以及使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及 TCP三次握手 。通过抓包和分析数据包来理解TCP/IP协议,进...,说到点子上了。
文章浏览阅读2.5k次,点赞46次,收藏34次。本文介绍了Wireshark,一款免费开源的网络抓包工具,其功能包括协议分析、 网络故障排查和平安监控,以及与Fiddler、Sniffer等工具的比较。文章详细讲述了Wireshark的历史、原理、抓包方法和适用场景。 保姆级系列教程-玩转Wireshark抓包神器教程-初识Wireshark 最新推荐文章于 2026-01-10 17:00:17 发布 原创最新推荐文章于 2026-01-10 17:00:17 发布·2.5k 阅读·46 · ·CC 4.0 BY-SA版权版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。 文章标签: #wireshark#测试工...,翻车了。
有同学喜欢表格展示,宏哥也提供出来啦!
| 步骤 | 标志位 | 动作描述 | Wireshark显示 |
|---|---|---|---|
| 第一次握手 | SYN=1, ACK=0 | 客户端发送连接请求报文 | SYN |
| 第二次握手 | SYN=1, ACK=1 | 服务端回复同意连接 | SYN, ACK |
| 第三次握手 | SYN=0, ACK=1 | 客户端确认服务端的确认 | ACK |
从下图可以看到wireshark捕获到的TCP包中的每个字段。为了更加清楚明白,宏哥这里将上一篇文章中的图拿过来进行说明和讲解。上图简化如下:注意:实际的TCP报文段会根据TCP头部长度和可选项的不同而有所变化。
试着... 在此之前,宏哥已经介绍和讲解过Wireshark的启动界面。但是很多初学者还会碰到一个难题,就是感觉wireshark抓包界面上也是同样的问题很多东西不懂怎么看。其实还是挺明了的宏哥今天就单独写一篇对其抓包界面进行详细地介绍和讲解一下。 2.Wireshak抓包界面概览 通过上一篇我们知道... 4.颜色区分Wireshark网络封包分析软件抓取到的不同网络协议 说明:数据包列表区中不同的网络协议使用了不同的颜色区分。
协议颜色标识定位在菜单栏 View -- Coloring Rules 。如下图所示: 5.小结 好了,今天主要是关于Wireshark抓包界面详解。
它是面向连接的,可靠的,基于字节流、全双工的通信协议。面向连接:接双方在通信前需要预先建立一条连接,这犹如实际生活中的打 今天主要详细地介绍了一下TCP包的理论知识,大体上都是文字,看起来比较晦涩难懂。下一篇宏哥打算讲解和分享一下:TCP的三次握手和四次挥手以及WireShark的实践。好了今天时间也不早了宏哥就讲解和分享到这里感谢您耐心的阅读,希望对您有所帮助。链接是:点击这里,说真的...。
Wireshark抓包神器,TCP包详解,你掌握了吗?
上一篇中通过宏哥的介绍和讲解, 小伙伴或者童鞋们应该知道宏哥今天要讲解和介绍的内容在哪里了吧,没错就是介绍那个OSI七层模型的传输层那个。主要原因是只有它建立主机端到端的连接如:TCP、UDP。说实话, 可以。 网络这个东西真的是太深奥了有时候宏哥自己都觉得头大,但是没办法,为了生活,为了技术,咱们还得硬着头皮上,对吧?今天咱们就来好好唠唠这个Wireshark,还有那个让人又爱又恨的TCP协议。
在开始今天的分享之前,我想先推荐一篇非常精彩的文章。这篇文章从最基础的知识介绍和讲解ZooKeeper 基础知识, 而且讲解的也比较全面图文并茂很好理解,令人眼前一亮。文章就是《ZooKeeper 基础知识》🚀🌟🚀🌟🚀🌟。虽然跟咱们今天讲的Wireshark没啥大关系,但是多学点东西总是好的,技多不压身嘛,你说是不是?
一、初识Wireshark:不仅仅是抓包那么简单
Wireshark网络抓包工具使用WinPCAP作为接口,直接与网卡进行数据报文交换,可以实时检测网络通讯数据,检测其抓取的网络通讯数据快照文件,通过图形界面浏览这些数据,可以查看网络通讯数据包中每一层的详细内容。它的强大特性:比方说包含有强显示过滤器语言和查看TCP会话重构流的能... 网络中不论传输什么,到头来通过物理介质发送的都是二进制,类似于0101的Bit流。 对,就这个意思。 纯文本中文通常采用UTF-8编码,英文用ASCII编码;非纯文本音频、 视频、图片、压缩包等按不同编码封装好,转换成二进制传输。在IP网络中,通过Wireshark抓包,获取的原始数据都是二进制。 哪种网络情况...
很多初学者刚打开Wireshark的时候, 整个人都是懵的,那一堆乱七八糟的数据流,简直就像天书一样。但是别怕,宏哥在这里。按照以前的讲解和分享路数,宏哥今天就应该从外观上来讲解WireShark的界面功能了。 踩雷了。 软件界面由上到下依次是标题栏、 主菜单栏、主菜单工具栏、显示过滤文本框、打开区、最近捕获并保存的文件、捕获区、捕获过滤文本框、本机所有网络接口、学习区及用户指南等。是不是听起来就很复杂?其实用习惯了就好了。
对吧? 1.简介 WireShark的强大之处就在于不用你再做任何配置就可以抓取http或者https的包。今天宏哥主要是讲解和分享如何使用WireShark抓包。 2.运行Wireshark 安装好 Wireshark 以后,就可以运行它来捕获数据包了。方法如下: 1.在 Windows 的 开始 菜单中 1.简介 WireShark的强大之处就在于... 2.在捕获选项中:勾选WLAN网卡或者其他网卡。点击开始。启动抓包。如下图所示: 3.点击开始后wireshark处于抓包状态中。由于本地计算机在浏览网站等一系列操作时 以太网 接口的数据将会被 Wiresh...
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。 wireshark是开源软件,可以放心使用。可以运行在Windows和Mac OS上。对应的,linux下的抓包工具是 tcpdump。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 1.打... 7.Wireshark安装文件自带Npcap最新版本,选择安装,默认即可!点击“Next”,如下图所示: 8.USBPcap是一个开源的USB数据包抓取工具。如果你有需要也可以勾选安装,否则保持默认即可!点击“Install”,开始安装...,如下图所示...
闹乌龙。 为了让大家更清楚市面上常见的抓包工具, 宏哥特意整理了一个表格,大家看看就明白了:
| 工具名称 | 主要平台 | 特点 | 适用场景 |
|---|---|---|---|
| Wireshark | Windows/Mac/Linux | 开源、功能最全、协议解析强大 | 全方位网络故障排查、协议分析 |
| Fiddler | Windows | 专注于HTTP/HTTPS,轻量级 | Web开发调试、抓取网页数据 |
| Tcpdump | Linux | 命令行工具,无图形界面 | 服务器后台抓包,资源占用低 |
| Charles | Windows/Mac/Linux | 代理抓包,支持弱网模拟 | 移动端APP抓包、接口测试 |
二、TCP协议详解:那些让人头秃的字段
我无法认同... 好了说完了工具,咱们得回到正题。TCP是工作在传输层,也就是网络层上一层的协议。传输控制协议是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能。用户数据报协议是同一层内另一个重要的传输协议。
TCP收到上一层的数据包后会加上TCP头并且进行一些特殊处理后再传递给网络层。 我可是吃过亏的。 TCP是面向连接、可靠的传输协议,其报文格式较复杂。TCP报文的格式如下:
| 源端口 | 目的端口 |
| 序号 |
| 确认序号 |
| 数据偏移 | 保留 | 标志位 | 窗口大小 |
| 校验和 | 紧急指针 |
| 选项 |
| 数据 |看着这个图是不是有点晕?没事,宏哥一个个给你解释。咱们先从最基础的字段说起,也是没谁了...。
不忍直视。 源端口和目的端口源端口,标识哪个应用程序发送。目的端口,标识哪个应用程序接收。这个很好理解,就像寄快递,寄件人和收件人得写清楚吧?不然数据包发过去谁知道给谁处理啊。
欧了! 序号Sequence Number。序号字段。TCP链接中传输的数据流中每个字节都编上一个序号。序号字段的值指的是本报文段所发送的数据的第一个字节的序号。这个是为了保证数据的有序性,毕竟网络传输不靠谱,先发的后到也是常有的事。
确认序号Acknowledgment Number。确认号,是期望收到对方的下一个报文段的数据的第1个字节的序号,即上次已成功接收到的数据字节序号加1。 一阵见血。 只有ACK标识为1,此字段有效。确认序号有效标识。只有当ACK=1时确认号字段才有效。当ACK=0时确认号无效。
性价比超高。 数据偏移Data Offset。数据偏移, 即首部长度,指出TCP报文段的数据起始处距离TCP报文段的起始处有多远,以32比特为计算单位。最多有60字节的首部,若无选项字段,正常为20字节。
保留Reserved。保留,必须填0。6比特。这个字段就是给以后留着用的,现在咱们用不到,老老实实填0就行,对吧?。
什么鬼? 为了方便大家记忆这些字段, 宏哥又做了一个表格,大家仔细看哦:
| 字段名 | 长度 | 说明 |
|---|---|---|
| Source Port | 16比特 | 源端口,标识发送进程 |
| Destination Port | 16比特 | 目的端口,标识接收进程 |
| Sequence Number | 32比特 | 序号 |
| Acknowledgment Number | 32比特 | 确认序号 |
| Data Offset | 4比特 | 数据偏移,首部长度 |
| Reserved | 6比特 | 保留字段,必须为0 |
| Flags | 6比特 | 标志位 |
| Window | 16比特 | 窗口大小,用于流量控制 |
| Checksum | 16比特 | 校验和 |
| Urgent Pointer | 16比特 | 紧急指针 |
三、标志位:TCP的大脑
接下来是重头戏,标志位。这可是TCP控制的核心, 试着... 一共6个比特,每个位都有它的作用。
大胆一点... URG 紧急指针有效标识。它告诉系统此报文段中有紧急数据,应尽快传送。紧急指针,只有当URG标志置1时紧急指针才有效。TCP的紧急方式是发送端向另一端发送紧急数据的一种方式。紧急指针指出在本报文段中紧急数据共有多少个字节。
ACK 确认序号有效标识。只有当ACK=1时确认号字段才有效。 栓Q了... 当ACK=0时确认号无效。这个位在连接建立后一般都是1的。
我整个人都不好了。 PSH 标识接收方应该尽快将这个报文段交给应用层。接收到PSH = 1的TCP报文段, 应尽快的交付接收应用进程,而不再等待整个缓存都填满了后再向上交付。这就好比你在网上买东西,卖家给你发了顺丰特快,就是让你赶紧收到货。
RST 重建连接标识。当RST=1时表明TCP连接中出现严重错误,必须释放连接,然后再重新建立连接。这个位一出,大体上就是连接断了得重来。
SYN 同步序号标识,用来发起一个连接。SYN=1表示这是一个连接请求或连接接受请求。 呵... 这个在三次握手里非常关键。
FIN 发端完成发送任务标识。用来释放一个连接。FIN= 往白了说... 1表明此报文段的发送端的数据已经发送完毕,并要求释放连接。
除了这些,还有几个字段也很重要。
窗口Window。窗口:TCP的流量控制,窗口起始于确认序号字段指明的值,这个值是接收端正期望接收的字节数。窗口最大为65535字节,破防了...。
校验和Checksum。校验字段,包括TCP首部和TCP数据,是一个强制性的字段,一定是由发端计算和存储,并由收端进行验证。在计算检验和时要在TCP报文段的前面加上12字节的伪首部,躺平。。
紧急指针Urgent Pointer。紧急指针, 小丑竟是我自己。 只有当URG标志置1时紧急指针才有效。
选项Options。选项字段。TCP协议一开始只规定了一种选项,即最长报文段长度,又称为MSS。 是不是? MSS告诉对方TCP“我的缓存所能接收的报文段的数据字段的最大长度是MSS个字节”。
填充Padding。填充字段,用来补位,使整个首部长度是4字节的整数倍。
数据data。TCP负载。
全双工是一种通信方式, 指通信的双方可以一边发送和接收数据,而不需要像半双工那样在发送和接收之间切换。在全双工通信中,数据可以在两个方向上一边传输,所以呢通信速度更快,效率更高。TCP就是全双工的,搞一下...。
四、实战演练:三次握手与抓包分析
光说不练假把式。咱们来看看实际抓包是什么样子的。在此之前,宏哥已经介绍和讲解过Wireshark的启动界面。但是很多初学者还会碰到一个难题,就是感觉wireshark抓包界面上也是同样的问题很多东西不懂怎么看。其实还是挺明了的宏哥今天就单独写一篇对其抓包界面进行详细地介绍和讲解一下。 2.Wireshak抓包界面概览 通过上一篇我... 好了,今天主要是关于Wireshark抓包界面详解。
到此宏哥就将Wireshark抓包界面讲解和分享完了,是不是很简单了。
3.停止wireshark抓包。在wireshark的过滤器中,输入ip.addr == 39.156.66.10来过滤发送给百度的请求。可以得到如下过滤后的报文。如下图所示: 4.从上图我们可以清楚地看到前三条是TCP三次握手建立连接的报文,中间三个是包括一个HTTP请求,一个TCP的确认报文和一个HTTP响应报文,响应报文的TCP确认报文和第一次挥手被放在了同一个报文里,我无法认同...。
后面的四条是TCP四次挥手断开连接的报文,深得我心。。
TCP连接必须要经历三次握手, 而释放一个TCP连接需要四次握手,这是由TCP的半关闭特性造成的。主要原因是TCP连接时全双工的,所以呢,需要TCP两端要单独施行关闭。需要留意的是 主动关闭的一端在发送FIN之后依然还能正常接收对方的数据,只是通知对方它已经没有数据需要发送了同理,被动关闭的一端在收到FIN之后仍然可以发送数据,直到它自身同样发出FIN之后才停止发送数据。
1.简介 按照计划今天就要讲解和分享TCP协议的三次握手和四次挥手以及使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及 TCP三次握手 。通过抓包和分析数据包来理解TCP/IP协议,进一步加深对TCP包的理解和认识。 2.TCP连接的建立 2.1通俗易懂 保姆级系列教程-玩转Wireshark抓包神器教程-Wireshark的TCP包详解-下篇1.简介 按照计划今天就要讲解和分享TCP协议的三次握手和四次挥手以及使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及 TCP三次握手 。通过抓包和分析数据包来理解TCP/IP协议,进...,说到点子上了。
文章浏览阅读2.5k次,点赞46次,收藏34次。本文介绍了Wireshark,一款免费开源的网络抓包工具,其功能包括协议分析、 网络故障排查和平安监控,以及与Fiddler、Sniffer等工具的比较。文章详细讲述了Wireshark的历史、原理、抓包方法和适用场景。 保姆级系列教程-玩转Wireshark抓包神器教程-初识Wireshark 最新推荐文章于 2026-01-10 17:00:17 发布 原创最新推荐文章于 2026-01-10 17:00:17 发布·2.5k 阅读·46 · ·CC 4.0 BY-SA版权版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。 文章标签: #wireshark#测试工...,翻车了。
有同学喜欢表格展示,宏哥也提供出来啦!
| 步骤 | 标志位 | 动作描述 | Wireshark显示 |
|---|---|---|---|
| 第一次握手 | SYN=1, ACK=0 | 客户端发送连接请求报文 | SYN |
| 第二次握手 | SYN=1, ACK=1 | 服务端回复同意连接 | SYN, ACK |
| 第三次握手 | SYN=0, ACK=1 | 客户端确认服务端的确认 | ACK |
从下图可以看到wireshark捕获到的TCP包中的每个字段。为了更加清楚明白,宏哥这里将上一篇文章中的图拿过来进行说明和讲解。上图简化如下:注意:实际的TCP报文段会根据TCP头部长度和可选项的不同而有所变化。
试着... 在此之前,宏哥已经介绍和讲解过Wireshark的启动界面。但是很多初学者还会碰到一个难题,就是感觉wireshark抓包界面上也是同样的问题很多东西不懂怎么看。其实还是挺明了的宏哥今天就单独写一篇对其抓包界面进行详细地介绍和讲解一下。 2.Wireshak抓包界面概览 通过上一篇我们知道... 4.颜色区分Wireshark网络封包分析软件抓取到的不同网络协议 说明:数据包列表区中不同的网络协议使用了不同的颜色区分。
协议颜色标识定位在菜单栏 View -- Coloring Rules 。如下图所示: 5.小结 好了,今天主要是关于Wireshark抓包界面详解。
它是面向连接的,可靠的,基于字节流、全双工的通信协议。面向连接:接双方在通信前需要预先建立一条连接,这犹如实际生活中的打 今天主要详细地介绍了一下TCP包的理论知识,大体上都是文字,看起来比较晦涩难懂。下一篇宏哥打算讲解和分享一下:TCP的三次握手和四次挥手以及WireShark的实践。好了今天时间也不早了宏哥就讲解和分享到这里感谢您耐心的阅读,希望对您有所帮助。链接是:点击这里,说真的...。