TCP报文格式和三次握手——三次握手三个tcp包（header+data），此外，TCP 报文段中的数据部分是可选的，在一个连接建立和一个连接终止时，双方交换的报文段仅有 TCP 首部。

from:https://blog.csdn.net/mary19920410/article/details/58030147

TCP报文是TCP层传输的数据单元，也叫报文段。

1、端口号：用来标识同一台计算机的不同的应用进程。

1）源端口：源端口和IP地址的作用是标识报文的返回地址。

2）目的端口：端口指明接收方计算机上的应用程序接口。

TCP报头中的源端口号和目的端口号同IP数据报中的源IP与目的IP唯一确定一条TCP连接。

2、序号和确认号：是TCP可靠传输的关键部分。序号是本报文段发送的数据组的第一个字节的序号。在TCP传送的流中，每一个字节一个序号。e.g.一个报文段的序号为300，此报文段数据部分共有100字节，则下一个报文段的序号为400。所以序号确保了TCP传输的有序性。确认号，即ACK，指明下一个期待收到的字节序号，表明该序号之前的所有数据已经正确无误的收到。确认号只有当ACK标志为1时才有效。比如建立连接时，SYN报文的ACK标志位为0。

3、数据偏移／首部长度：4bits。由于首部可能含有可选项内容，因此TCP报头的长度是不确定的，报头不包含任何任选字段则长度为20字节，4位首部长度字段所能表示的最大值为1111，转化为10进制为15，15*32/8
= 60，故报头最大长度为60字节。首部长度也叫数据偏移，是因为首部长度实际上指示了数据区在报文段中的起始偏移值。

4、保留：为将来定义新的用途保留，现在一般置0。

5、控制位：URG  ACK  PSH  RST  SYN  FIN，共6个，每一个标志位表示一个控制功能。

1）URG：紧急指针标志，为1时表示紧急指针有效，为0则忽略紧急指针。

2）ACK：确认序号标志，为1时表示确认号有效，为0表示报文中不含确认信息，忽略确认号字段。

3）PSH：push标志，为1表示是带有push标志的数据，指示接收方在接收到该报文段以后，应尽快将这个报文段交给应用程序，而不是在缓冲区排队。

4）RST：重置连接标志，用于重置由于主机崩溃或其他原因而出现错误的连接。或者用于拒绝非法的报文段和拒绝连接请求。

5）SYN：同步序号，用于建立连接过程，在连接请求中，SYN=1和ACK=0表示该数据段没有使用捎带的确认域，而连接应答捎带一个确认，即SYN=1和ACK=1。

6）FIN：finish标志，用于释放连接，为1时表示发送方已经没有数据发送了，即关闭本方数据流。

6、窗口：滑动窗口大小，用来告知发送端接受端的缓存大小，以此控制发送端发送数据的速率，从而达到流量控制。窗口大小时一个16bit字段，因而窗口大小最大为65535。

7、校验和：奇偶校验，此校验和是对整个的 TCP 报文段，包括 TCP 头部和 TCP 数据，以 16 位字进行计算所得。由发送端计算和存储，并由接收端进行验证。

8、紧急指针：只有当 URG 标志置 1 时紧急指针才有效。紧急指针是一个正的偏移量，和顺序号字段中的值相加表示紧急数据最后一个字节的序号。 TCP 的紧急方式是发送端向另一端发送紧急数据的一种方式。

9、选项和填充：最常见的可选字段是最长报文大小，又称为MSS（Maximum
Segment
Size），每个连接方通常都在通信的第一个报文段（为建立连接而设置SYN标志为1的那个段）中指明这个选项，它表示本端所能接受的最大报文段的长度。选项长度不一定是32位的整数倍，所以要加填充位，即在这个字段中加入额外的零，以保证TCP头是32的整数倍。

10、数据部分： TCP 报文段中的数据部分是可选的。在一个连接建立和一个连接终止时，双方交换的报文段仅有 TCP 首部。如果一方没有数据要发送，也使用没有任何数据的首部来确认收到的数据。在处理超时的许多情况中，也会发送不带任何数据的报文段。

参考文献：

http://blog.chinaunix.net/uid-26366978-id-3282793.html

http://blog.csdn.net/ningxuezhu/article/details/39892091/

http://blog.csdn.net/a19881029/article/details/29557837

http://www.cnblogs.com/xinyuyuanm/archive/2013/04/17/3026279.html

http://www.360doc.com/content/12/1218/10/3405077_254718387.shtml

from：https://www.cnblogs.com/Chilam007/p/6973990.html

结合抓包数据分析TCP三次握手过程

　　1、首先要清楚TCP三次握手过程，如图5所示：

图5（TCP三次握手过程）

百度百科解释TCP三次握手过程如下：

第一次握手：建立连接时，客户端发送syn包（syn=j）到服务器，并进入SYN SENT状态，等待服务器确认；SYN：即是同步序列编号（Synchronize Sequence Numbers）；

第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN RECV状态；

第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK（ack=k+1），此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手。

　　

　　2、要清楚TCP包中的具体内容如图6所示：（TCP包的具体内容图来源于博客：http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html）

图6（TCP包的具体内容）

　　3、下面用实例讲下wireshark中的tcp三次握手过程：

　　1）打开wireshark后，在浏览器输入访问地址：http://www.cnblogs.com/Chilam007/，wireshark自动捕获数据包，然后过滤自己需要分析的数据，这里是过滤与主机通信的记录，

过滤规则为：ip.addr == 116.211.169.93  ，过滤后的数据如图7所示

图7（过滤后的数据包显示，注：这里不知道为什么数据包是重复的）

• 574帧是客户端向服务器发送TCP请求建立连接。标识为SYN。

• 619帧是服务器得到请求后向客户端回应确认包的过程。标识为SYN，ACK。

• 620帧是客户端回应服务器发送确认包的过程，将于服务器建立连接。标识为ACK。

• 663帧是客户端向服务器发送HTTP请求内容的过程。标识为GET。

• 667帧是服务器响应客户端请求的过程，收到请求。标识为ACK。

• 674帧是服务器向客户端回应内容的过程。

　　2）TCP三次握手分析：

　第一次握手数据包，客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接，如图8所示

图8（第一次握手）

　第二次握手的数据包，服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1，如图9所示

图9（第二次握手）

　第三次握手的数据包，客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1，如图10所示

图10（第三次握手）

以上就是 wireshark中的tcp三次握手过程。