介绍

本篇文章是使用wireshrak对某个https请求的tcp包进行分析。

目的

通过抓包实际分析了解tcp包。

准备工作

在我自己机子上安装的是wireshark2.2.6版本,随机查找了某个TCP连接,并跟踪流。

 

传输

创建连接

  • No58: 10.60.45.187:17932(后面简称客户端)向131.25.61.68:443(后面简称服务端)发送了SYN请求连接,此时客户端发送的seq=0,ack=0。
  • No79:服务端向客户端发送了SYN+ACK确认连接,此时服务端发送的seq=0,ack=1。
  • No81:客户端接收到服务端的SYN+ACK向服务端响应ACK包,此时客户端发送的seq=1,ack=1。

    由于抓到的tcp是使用了https协议,建里连接需要先进行认证,步骤如下图所示。

握手

  • No84: 客户端向服务端发起握手请求,具体包格式及内容这里不做详细分析。

这里SSL总长度为239字节(其中ContentType为1字节,Version为2字节,Length为2字节,再加上后续握手协议长度234。)。


  • No103: 服务端接收到客户端握手请求后响应ACK包,此时seq=1,ack=1。这个发送的是一个特殊的TCP Window Update,服务端告知客户端服务端有足够的缓存大小(8192),可以正常接收客户端数据。若出现了TCP Window Full包表示缓存区已满,客户端会停止发送,直到接收到了TCP Window Update包。(Window值表示滑动窗口1,允许接收到多个包同时响应一个ACK包)
  • No104: 服务器向客户端发送握手,由于服务端需要返回证书、算法等信息,因此包可能会大于1460字节,会发生拆包现象(No136可看到该包总大小为5984KB,拆分了5个包发送)。当前服务端发送的seq=1,ack=240(当前包大小为1460,No84说明客户端包大小为239。)

  • No105: 服务器向客户端发送握手数据,这个包标记的是TCP Previous segment not captured,说明发送包可能出现了乱序或丢包现象,这个包的seq=2921,而No104的下一个包seq应该为1461,No104和No105中间seq=1461的包可能丢包或乱序传输。
  • No106: 服务器向客户端发送握手数据,这个包的seq=4381,因为No105的下一个包的seq和这个包一样,所以这两个包是按顺序传输的。当前包的下一个包seq=5841。
  • No108: 这个包是客户端向服务端发送的一个ACK 其中ack=1461,表示客户端确认收到了No104这个包。
  • No118: 服务器向客户端发送ACK包,这个包标记的是TCP Out-Of-Order,由于No105包显示出现了丢包现象,因此tcp将No104以前的包全部重传,这个包实际就是No104。
  • No119: 客户端向服务端发送ACK包,这个包标记的是TCP Dup ACK 108#1,表示重传ACK包,这个包是由于No118包引起的(#N表示重传N次,这里重传了1次),因为No118包服务端向客户端发送了一个乱序的包,而客户端在No108包已经确认接收到No104这个包,seq应该为1461,所以,客户端再一次重传108包告知服务端客户端已经接收到No104包,这个包实际服务端已经接收到了因此会被丢弃。
  • No123和No124: 服务器向客户端发送握手数据,包标记的是TCP Retransmission,两个包的seq分别为1461和2921,由于服务端认为已经发了这两个包(实际seq=1461的包没发,由No105可看出,seq=2921的包发了,但是客户端没有响应响应的ACK包),然后长时间收不到客户端的ACK包,因此服务端会重发这两个包。
  • No127: 客户端向服务端发送ACK包。seq=240,ack=5841,表示已经接收到服务端seq=5841以前的所有包。
  • No132: 服务器向客户端发送握手数据,包标记的是TCP Spurious Retransmission,表示这个包已经发送过。该报的seq=1461,即No123重传的包,虽然客户端向服务端发送了ACK包收到了seq=5841以前的包,但是服务端可能没有收到这个ACK包。
  • No133: 客户端向服务端发送ACK包。seq=240,ack=5841。包标记的是TCP Dup ACK 127#1。由于客户端在No127已经返回了ack=5841,但是服务端在No132还是重传了之前已经传过的包,所以客户端认为No127包可能服务端没有收到,所有这里重传了No127这个ACK包,这个包服务端已经接收到了,因此会被丢弃。
  • No136: 服务端向客户端发送的最后一个握手包。seq=5841。下个包seq=5985,在这包汇总了5个分段包内容和信息。

  • No140:客户端向服务端发送ACK包。seq=240,ack=5985。

生成密钥

  • No141: 客户端接收到服务端的握手请求后,生成密钥对发送给服务端。由于No103开始的包都是服务端向客户端发送数据,因此客户端的seq一直是240。
  • No147: 服务端向客户端重发No136包。因为No140这个包客户已经确认收到seq=5985以前的包了,因此服务端发的这个包发生了虚假重传。
  • No148: 客户端向服务端发送ACK包。这个包标记为TCP Dup ACK 140#1是由于No147这个包服务端发生虚假重传,因此客户端重新发送No140包。
  • No152: 服务端向客户端发送,包标记为Change Cipher Spec, Encrypted Handshake Message,这是对握手信息进行加密。
  • No153: 客户端向服务端发送ACK包,接收到了No152包。

发送数据

    • No154-No159: 客户端向服务端发送数据。
    • No166和No167: 服务端向客户端发送了2个ACK包。
    • No170: 服务端向客户端发送数据。
    • No171: 客户端发送给服务端ACK包,确认收到No170这个包。

    • No178: 服务端向客户端发送数据,这个包是No170分段后剩余的数据。
    • No179: 客户端发送给服务端ACK包,seq=8331,ack=8770,确认收到No178这个包。

      No152到No179都是正常传输的包,这里不做详细分析了。

      断开连接

    • No180: 客户端接收完服务端数据后就断开连接了,所以发送了一个FIN包,同时客户端进入到FIN_WAIT_1状态。

      理论上服务端发送完就主动关闭http连接, 但是抓包看确是客户端先发送的FIN+ACK包,因此说明服务端发送的FIN+ACK的包可能丢包,客户端没收到或收到慢了。

    • No187: 服务端发送客户端FIN+PSH+ACK,seq=7552,ack=8331。这包不但传了FIN关闭连接,又传了PSH。说明No178包服务端发出来,客户端返回的ACK包(No179以及No180)服务端没收到(这中间可能网络处理问题)。
    • No188: 由于No187包标记为TCP Out-Of-Order,因此客户端认为服务端的包乱序了,因此,因此客户端重传No179。

    • No189: 服务端接收到客户端的FIN包,也接受到No188包,返回客户端一个ACK包,seq也更新成最新的8770,客户端进入FIN_WAIT_2状态。
    • No198: 服务端发送给客户端RST重置连接,可能是由于No179到No187之间网络出现了问题,导致连接异常,因此服务端发送了一个RST重置连接。

Wireshark抓取TCP包分析的更多相关文章

  1. 使用wireshark抓取TCP包分析1

    使用wireshark抓取TCP包分析1 前言 介绍 目的 准备工作 传输 创建连接 握手 生成密钥 发送数据 断开连接 结论 前言 介绍 本篇文章是使用wireshrak对某个https请求的tcp ...

  2. 使用Wireshark 抓取数据包

    Wireshark 是一个网络封包分析软件.网络封包分析软件的功能是获取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换. 一  ...

  3. 利用wireshark抓取TCP的整个过程分析。

    原文地址:https://www.cnblogs.com/NickQ/p/9226579.html 最近,已经很久都没有更新博客了.看看时间,想想自己做了哪些事情,突然发现自己真的是太贪心,到头来却一 ...

  4. Fiddler抓取数据包分析案例

    案例:利用Fiddler抓取苏宁易购网站数据包分析 抓包软件:Fiddler4 请求名字:www.suning.com 详细内容: 一.了解数据包区域的字段含义 图1数据包区域 #:顺序号,按照抓包的 ...

  5. Wireshark抓取RTP包,还原语音

    最近在做基于SIP的VoIP通信研究,使用Wireshark软件可以对网络流量进行抓包. VoIP使用RTP协议对语音数据进行传输,语音载荷都封装在RTP包里面.要对传输中的语音进行截获和还原,需要通 ...

  6. WireShark 抓取Telnet包

    用Python的Asyncore.dispatcher写了个小服务器,客户端使用telnet连接上去之后一直显示连接丢失,想抓下包看看 抓包结果如下: 服务器在192.168.1.102:8080 端 ...

  7. 【Azure 环境】在Windows环境中抓取网络包(netsh trace)后,如何转换为Wireshark格式以便进行分析

    问题描述 如何在Windows环境中,不安装第三方软件的情况下(使用Windows内置指令),如何抓取网络包呢?并且如何转换为Wireshark 格式呢? 操作步骤 1) 以管理员模式打开CMD,使用 ...

  8. Android利用tcpdump和wireshark抓取网络数据包

    Android利用tcpdump和wireshark抓取网络数据包 主要介绍如何利用tcpdump抓取andorid手机上网络数据请求,利用Wireshark可以清晰的查看到网络请求的各个过程包括三次 ...

  9. TCP三次握手和四次挥手及wireshark抓取

    TCP的三次握手与四次挥手的详细介绍: 三次握手: 第一次握手(SYN=1, seq=x): 客户端发送客户端发送一个 TCP 的 SYN 标志位置1的,指明客户端打算连接的服务器的端口,以及初始序号 ...

随机推荐

  1. solr笔记--solr3.2以后支持document和json两种对象来更新索引

    1.json形式(比如把mongodb数据库的导出结果json) <requestHandler name="/update" class="solr.JsonUp ...

  2. SQl Server 函数篇 聚合函数

    说一下数据库中的聚合函数 函数使用必须加小括号(), 5种聚合函数: 1.max最大值   select max(price) from car where code='c024'   --取这一列中 ...

  3. revit导出模型数据到sqlserver数据库

    revit软件可以导出模型数据到sqlserver数据库,有时候,为了对模型做数据分析,需要导出模型的数据,下面总结一下导出过程: 首先在sqlserver中建立一个数据库,如:revit_wujin ...

  4. 205. Isomorphic Strings两个数组变形记,是否符合规则

    [抄题]: Given two strings s and t, determine if they are isomorphic. Two strings are isomorphic if the ...

  5. 前端学习笔记2017.6.21-html是个什么东西

    html有两种意思,html语言和html格式 html语言是一种面向人类的计算机语言,这是啥意思?人类用html这种语言描述出一个网页的样子,浏览器解析这个语言并展示出来. html格式是一种文件格 ...

  6. Mat的迭代器使用

    如果你熟悉 C++的 STL 库,那一定了解迭代器(iterator)的使用.迭代器可以方便地遍历所有元素.Mat 也增加了迭代器的支持,以便于矩阵元素的遍历.下面的例程功能跟上一节的例程类似,但是由 ...

  7. POJ 2836 Rectangular Covering (状压DP)

    题意:平面上有 n (2 ≤ n ≤ 15) 个点,现用平行于坐标轴的矩形去覆盖所有点,每个矩形至少盖两个点,矩形面积不可为0,求这些矩形的最小面积. 析:先预处理所有的矩形,然后dp[s] 表示 状 ...

  8. ObjectARX杂碎--(学习指南及书籍)

    ---------------------------------------------------------------------------------------------------- ...

  9. C#.Net使用正则表达式抓取百度百家文章列表

    工作之余,学习了一下正则表达式,鉴于实践是检验真理的唯一标准,于是便写了一个利用正则表达式抓取百度百家文章的例子,具体过程请看下面源码: 一:获取百度百家网页内容 public List<str ...

  10. 对Dapper的一点改造

    微软推出的ORM, EF在我开发的项目中给我的感觉一直都是慢.优点是高度封装的底层.便于开发. Dapper在多篇性能比较的网站中.都是名列前三.缺点是手写SQL,不便于开发.   如果能结合EF的优 ...