Wireshark抓包——TCP协议分析

一. 实验目的

通过本次实验，掌握使用Wireshark抓取TCP/IP协议数据包的技能，能够深入分析TCP帧格式及“TCP三次握手”。通过抓包和分析数据包来理解TCP/IP协议，进一步提高理论联系实践的能力。

二. 实验内容

1.本次实验重点：利用Wireshark抓TCP包及TCP包的分析。

2.本次实验难点：分析抓到的TCP包。

3.本次实验环境：Windows 7，Wireshark。

4.本次实验内容：

TCP协议是在计算机网络中使用最广泛的协议，很多的应用服务如FTP,HTTP,SMTP等在传输层都采用TCP协议，因此，如果要抓取TCP协议的数据包，可以在抓取相应的网络服务的数据包后，分析TCP协议数据包，深入理解协议封装，协议控制过程以及数据承载过程。两幅图分别是TCP帧格式及TCP三次握手。

三.实验过程

1. TCP包抓取及分析过程如下：

第一步，确定使用的协议，使用HTTP服务。选择http://www.sina.com.cn/作为目标地址。

第二步，启动抓包：点击【start】开始抓包，在浏览器地址栏输入http://www.sina.com.cn。

第三步，通过显示过滤器得到先关数据包：通过抓包获得大量的数据包，为了对数据包分析的方便，需要使用过滤器，添加本机IP地址和TCP协议过滤条件。

（1）打开命令提示符，通过ipconfig /all来查看本机IP地址。

（2）在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==196.168.100.131，过滤结果如下：

结果发现效果不是很好，于是将过滤条件中的IP地址更换为http://www.sina.com.cn的IP地址，操作过程如下：

（1）打开命令提示符，通过ping www.sina.com.cn来查看目标IP地址。

（2）打开命在工具栏上的Filter对话框中填入过滤条件：tcp and ip.addr==218.30.66.248，过滤结果如下：

其中，红色框内即为一个三次握手过程：

第四步，分析TCP数据包，根据第一幅图中的数据帧格式，分析TCP包的各部分。

原端口/目的端口(16bit)。如下图所示，源端口为443，标识了发送进程；目的端口为3201，标识了接收方进程。

序列号(32bit)。如下图所示，发送序列号Sequence Number为0，标识从源端向目的端发送的数据字节流，它表示在这个报文端中的第一个数据字节的顺序号，序列号是32位的无符号类型，序号表达达到2^32 - 1后又从0开始，当建立一个新的连接时，SYN标志为1，系列号将由主机随机选择一个顺序号ISN(Initial Sequence Number)。

确认号(32bit)。如下图所示，确认号Acknowledgment Number为1，包涵了发送确认一端所期望收到的下一个顺序号。因此确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。TCP为应用层提供全双工服务，这意味着数据能在两个方向上独立的进行传输，因此连接的两断必须要保证每个方向上的传输数据顺序。

偏移(4bit)。如下图所示，偏移32bytes，这里的偏移实际指的是TCP首部的长度Header length，它用来表明TCP首部中32bit字的数目，通过它可以知道一个TCP包它的用户数据从哪里开始。

保留位(6bit)。如下图所示，保留位Reserved未设置。

标志(6bit)。在TCP首部中有6个标志比特，他们中的多个可同时被置为1。如下图所示:

URG(Urgent Pointer Field Significant):紧急指针标志，用来保证TCP连接不被中断，并且督促中间设备尽快处理这些数据，图中其值为1。

ACK(Acknowledgement Field Signigicant)：确认号字段，该字段为1时表示应答字段有效，即TCP应答号将包含在TCP报文中，图中其值为1。

PSH(Push Function): 推送功能，所谓推送功能指的是接收端在接收到数据后立即推送给应用程序，而不是在缓冲区中排队，图中其值为0。

RST(Reset the connection): 重置连接，不过一搬表示断开一个连接，图中其值为0。

SYN(Synchronize sequence numbers):同步序列号，用来发起一个连接请求，图中其值为1。

FIN(No more data from sender)表示发送端发送任务已经完成（既断开连接）。

窗口大小(16bit)。如下图所示，窗口大小Windows size value为29200，表示源主机最大能接收29200字节。

校验和(16bit)。如下图所示，校验和Checksum为0xc24f，包含TCP首部和TCP数据段，这是一个强制性的字段，一定是由发送端计算和存储，由接收端进行验证。

紧急指针(16bit)。如下图所示，URG标志为1，只有当URG标志置为1时该字段才有效，紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一段发送紧急数据的一种方式。

TCP选项。至少1个字节的可变长字段，标识哪个选项有效。Kind=0:选项表结束， Kind=1:无操作， Kind=2：最大报文段长度，Kind=3:窗口扩大因子， Kind=8:时间戳。如下图所示，Kind为2，代表最大报文长度MSS size。

数据部分。当前数据包的数据部分，如下图所示：

2. TCP三次握手：

第一次握手数据包：客户端发送一个TCP，标志位为SYN，序列号为0，代表客户端请求建立连接，如下图所示（第一条）：

第二次握手的数据包：服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1，如下图所示（第二条）：

第三次握手的数据包：客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方。在进过三次握手后和服务器建立了TCP连接，如下图所示（第三条）：