（圖文並茂，權威最詳細）Wireshark抓包分析 TCP三次握手/四次揮手詳解

本文結合wireshark抓包，對TCP協議的三次握手和四次揮手進行詳細的講解。大家要認真看完，這可能是全網講得最詳細的文章了。

01 TCP/IP協議族

TCP/IP是一個協議族，通常分不同層次進行開發，每個層次負責不同的通訊功能。包含以下四個層次：

1. 鏈路層，也稱作資料鏈路層或者網路介面層，通常包括作業系統中的裝置驅動程式和對應的網路介面卡。處理與物理層傳輸介質（如電纜）之間的物理介面細節。

2. 網路層，也稱作網際層，處理資料包分組在網路中的活動，例如分組的選路和轉發等。網路層協議包括IP協議（網際協議）、ICMP協議（Internet網際網路控制報文協議），以及IGMP協議（Internet組管理協議）等。

3. 傳輸層，提供兩臺主機上的應用程式端到端的通訊。協議主要包括：TCP（傳輸控制協議）和UDP（使用者資料包協議）。TCP為兩臺主機提供高可靠性的資料通訊。而 UDP 提供盡力而為的通訊，通訊的可靠性需要應用層來提供。

4. 應用層，負責處理特定的應用程式邏輯。包括Telnet（遠端登入）、FTP（檔案傳輸協議）、SMTP（簡單郵件傳送協議）以及SNMP（簡單網路管理協議）等。

wireshark抓到的包與對應的協議層如下圖所示：

抓包介面顯示的結果和協議棧的層次關係正好相反，最上面的是物理層，最下面是應用層。具體的對應關係如下：

1. Frame: 物理層的資料幀概況
2. Ethernet II: 資料鏈路層乙太網幀頭部資訊
3. Internet Protocol Version 4: 網際網路層IP包頭部資訊
4. Transmission Control Protocol: 傳輸層的資料段頭部資訊，此處是TCP
5. Hypertext Transfer Protocol: 應用層的資訊，此處是HTTP協議

02 TCP協議

TCP是一種面向連線（連線導向）的、可靠的基於位元組流的傳輸層通訊協議。TCP將使用者資料打包成報文段，傳送後會啟動一個定時器，然後另一端收到的資料進行確認、對失序的資料重新排序、丟棄重複資料。

TCP的特點有：

1. TCP是面向連線的運輸層協議
2. 每一條TCP連線只能有兩個端點，每一條TCP連線只能是點對點的
3. TCP提供可靠交付的服務
4. TCP提供全雙工通訊。資料在兩個方向上獨立的進行傳輸。因此，連線的每一端必須保持每個方向上的傳輸資料序號。
5. 面向位元組流。面向位元組流的含義：雖然應用程式和TCP互動是一次一個資料塊，但應用程式交下來的資料僅僅是一連串的無結構的位元組流

TCP報文首部，如下圖所示：

• 源埠號：資料發起者的埠號，16bit
• 目的埠號：資料接收者的埠號，16bit
• 序號：32bit的序列號，由傳送方使用
• 確認序號：32bit的確認號，是接收資料方期望收到傳送方的下一個報文段的序號，因此確認序號應當是上次已成功收到資料位元組序號加1。
• 首部長度：首部中32bit字的數目，可表示15*32bit=60位元組的首部。一般首部長度為20位元組。
• 保留：6bit, 均為0
• 緊急URG：當URG=1時，表示報文段中有緊急資料，應儘快傳送。
• 確認位元ACK：ACK = 1時代表這是一個確認的TCP包，取值0則不是確認包。
• 推送位元PSH：當傳送端PSH=1時，接收端儘快的交付給應用程序。
• 復位位元（RST）：當RST=1時，表明TCP連線中出現嚴重差錯，必須釋放連線，再重新建立連線。
• 同步位元SYN：在建立連線是用來同步序號。SYN=1， ACK=0表示一個連線請求報文段。SYN=1，ACK=1表示同意建立連線。
• 終止位元FIN：FIN=1時，表明此報文段的傳送端的資料已經傳送完畢，並要求釋放傳輸連線。
• 視窗：用來控制對方傳送的資料量，通知發放已確定的傳送視窗上限。
• 檢驗和：該欄位檢驗的範圍包括首部和資料這兩部分。由發端計算和儲存，並由收端進行驗證。
• 緊急指標：緊急指標在URG=1時才有效，它指出本報文段中的緊急資料的位元組數。
• 選項：長度可變，最長可達40位元組

wireshark捕獲到的TCP包中的每個欄位如下圖所示：

03 TCP三次握手

TCP建立連線時，會有三次握手過程，如下圖所示，wireshark截獲到了三次握手的三個資料包。第四個包才是http的，說明http的確是使用TCP建立連線的。

下面來逐步分析三次握手過程：

第一次握手： 客戶端向伺服器傳送連線請求包，標誌位SYN（同步序號）置為1，序號為X=0

第二次握手： 伺服器收到客戶端發過來報文，由SYN=1知道客戶端要求建立聯機。向客戶端傳送一個SYN和ACK都置為1的TCP報文，設定初始序號Y=0，將確認序號(Acknowledgement Number)設定為客戶的序列號加1，即X+1 = 0+1=1, 如下圖：

第三次握手： 客戶端收到伺服器發來的包後檢查確認序號(Acknowledgement Number)是否正確，即第一次傳送的序號加1（X+1=1）。以及標誌位ACK是否為1。若正確，客戶端再次傳送確認包，ACK標誌位為1，SYN標誌位為0。確認序號(Acknowledgement Number)=Y+1=0+1=1，傳送序號為X+1=1。伺服器收到後確認序號值與ACK=1則連線建立成功，可以傳送資料了。

04 TCP四次揮手

TCP斷開連線時，會有四次揮手過程，如下圖所示，wireshark截獲到了四次揮手的四個資料包。

下面來逐步分析四次揮手過程：

第一次揮手： 客戶端給伺服器傳送TCP包，用來關閉客戶端到伺服器的資料傳送。將標誌位FIN和ACK置為1，序號為X=1，確認序號為Z=1。

第二次揮手：伺服器收到FIN後，發回一個ACK(標誌位ACK=1),確認序號為收到的序號加1，即X=X+1=2。序號為收到的確認序號=Z。

第三次揮手：伺服器關閉與客戶端的連線，傳送一個FIN。標誌位FIN和ACK置為1，序號為Y=1，確認序號為X=2。

第四次揮手：客戶端收到伺服器傳送的FIN之後，發回ACK確認(標誌位ACK=1),確認序號為收到的序號加1，即Y+1=2。序號為收到的確認序號X=2。

OK，以上就是利用 wireshark 抓取 TCP 三次握手和四次揮手的過程，圖文並茂，這次再不理解就來打我