使用wireshark抓包分析TCP三次握手

wireshark/r/n是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详/r/n细信息。使用/r/nwireshark/r/n的人必须了解网络协议，否则就看不懂/r/nwireshark/r/n了。/r/n为了安全考虑，/r/nwireshark/r/n只能查看封包，而不能修改封包的内容，或者发送封包。/r/nwireshark/r/n能获取/r/nHTTP/r/n，也能获取/r/nHTTPS/r/n，但是不能解密/r/nHTTPS/r/n，所以/r/nwireshark/r/n看不懂/r/nHTTPS/r/n中的内/r/n容，总结，如果是处理/r/nHTTP,HTTPS/r/n还是用/r/nFiddler,/r/n其他协议比如/r/nTCP,UDP/r/n就用/r/nwireshark./r/nWireshark(/r/n网络嗅探抓包工具/r/n)v1.4.9/r/n中文版/r/n(/r/n包含中文手册/r/n+/r/n主界面的操作菜单/r/n)/r/n评分/r/n:/r/n4.6/r/n类别：远程监控大小：/r/n22M/r/n语言：中文/r/n查看详细信息/r/n>>/r/n下载/r/n1690/r/n次/r/nwireshark/r/n开始抓包/r/n开始界面/r/nwireshark/r/n是捕获机器上的某一块网卡的网络包/r/n，当你的机器上有多块网卡的时候，你需要选择一个网/r/n卡。/r/n点击/r/nCaputre->Interfaces../r/n出现下面对话框，选择正确的网卡。然后点击/r/n"Start"/r/n按钮/r/n,/r/n开始抓包/r/nWireshark/r/n窗口介绍/r/nWireShark/r/n主要分为这几个界面/r/n1.DisplayFilter(/r/n显示过滤器/r/n)/r/n，用于过滤/r/n2.PacketListPane(/r/n封包列表/r/n)/r/n，显示捕获到的封包，有源地址和目标地址，端口号。颜色不同，代表/r/n3.PacketDetailsPane(/r/n封包详细信息/r/n),/r/n显示封包中的字段/r/n4.DissectorPane(16/r/n进制数据/r/n)/r/n5.Miscellanous(/r/n地址栏，杂项/r/n)/r/nWireshark/r/n显示过滤/r/n使用过滤是非常重要的，初学者使用/r/nwireshark/r/n时，将会得到大量的冗余信息，在几千甚至几万条记录/r/n中，以至于很难找到自己需要的部分。搞得晕头转向。/r/n过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。/r/n过滤器有两种，/r/n一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录/r/n一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在/r/nCapture->CaptureFilters/r/n中设置/r/n保存过滤/r/n在/r/nFilter/r/n栏上，填好/r/nFilter/r/n的表达式后，点击/r/nSave/r/n按钮，取个名字。比如/r/n"Filter102",/r/nFilter/r/n栏上就多了个/r/n"Filter102"/r/n的按钮。/r/n过滤表达式的规则/r/n表达式规则/r/n1./r/n协议过滤/r/n比如/r/nTCP/r/n，只显示/r/nTCP/r/n协议。/r/n2.IP/r/n过滤/r/n比如/r/nip.src==02/r/n显示源地址为/r/n02/r/n，/r/nip.dst==02,/r/n目标地址为/r/n02/r/n3./r/n端口过滤/r/ntcp.port==80,/r/n端口为/r/n80/r/n的/r/ntcp.srcport==80,/r/n只显示/r/nTCP/r/n协议的愿端口为/r/n80/r/n的。/r/n4.Http/r/n模式过滤/r/nhttp.request.method=="GET",/r/n只显示/r/nHTTPGET/r/n方法的。/r/n5./r/n逻辑运算符为/r/nAND/OR/r/n常用的过滤表达式/r/n过滤表达式/r/n用途/r/nhttp/r/n只查看/r/nHTTP/r/n协议的记录/r/nip.src==02orip.dst==02/r/n源地址或者目标地址是/r/n02/r/n封包列表/r/n(PacketListPane)/r/n封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。你可以看到/r/n不同的协议用了不同的颜色显示。/r/n你也可以修改这些显示颜色的规则，/r/nView->ColoringRules./r/n封包详细信息/r/n(PacketDetailsPane)/r/n这个面板是我们最重要的，用来查看协议中的每一个字段。/r/n各行信息分别为/r/nFrame:/r/n物理层的数据帧概况/r/nEthernetII:/r/n数据链路层以太网帧头部信息/r/nInternetProtocolVersion4:/r/n互联网层/r/nIP/r/n包头部信息/r/nTransmissionControlProtocol:/r/n传输层/r/nT/r/n的数据段头部信息，此处是/r/nTCP/r/nHy/r/npertextTransferProtocol:/r/n应用层的信息，此处是/r/nHTTP/r/n协议/r/nwireshark/r/n与对应的/r/nOSI/r/n七层模型/r/nTCP/r/n包的具体内容/r/n从下图可以看到/r/nwireshark/r/n捕获到的/r/nTCP/r/n包中的每个字段。/r/n实例分析/r/nTCP/r/n三次握手过程/r/n看到这，基本上对/r/nwireshak/r/n有了初步了解，现在我们看一个/r/nTCP/r/n三次握手的实例/r/n三次握手过程为/r/n这图我都看过很多遍了，这次我们用/r/nwireshark/r/n实际分析下三次握手的过程。/r/n打开/r/nwireshark,/r/n打开浏览器输入/r/n/r/n在/r/nwireshark/r/n中输入/r/nhttp/r/n过滤，然后选中/r/nGET/tankxiaoHTTP/1.1/r/n的那条记录，右键然后点击/r/n"FollowTCP/r/nStream",/r/n这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图/r/n图中可以看到/r/nwireshark/r/n截获到了三次握手的三个数据包。第四个包才是/r/nHTTP/r/n的，这说明/r/nHTTP/r/n的确是使/r/n用/r/nTCP/r/n建立连接的。/r/n第一次握手数据包/r/n客户端发送一个/r/nTCP/r/n，标志位为/r/nSYN/r/n，序列号为/r/n0/r/n，代表客户端请求建立连接。如下图/r/n第二次握手的数据包/r/n服务器发回确认包/r/n,/r/n标志位为/r/nSYN,ACK./r/n将确认序号/r/n(AcknowledgementNumber)/r/n设置为客户的/r/nISN/r/n加/r/n1/r/n以/r/n./r/n即/r/n0+1=1,/r/n如下图/r/n第三次握手的数据包/r/n客户端再次发送确认包/r/n(ACK)SYN