本文結合wireshark抓包,對TCP協議的三次握手和四次揮手進行詳細的講解。大家要認真看完,這可能是全網講得最詳細的文章了。
01 TCP/IP協議族
TCP/IP是一個協議族,通常分不同層次進行開發,每個層次負責不同的通訊功能。包含以下四個層次:
1. 鏈路層,也稱作資料鏈路層或者網路介面層,通常包括作業系統中的裝置驅動程式和對應的網路介面卡。處理與物理層傳輸介質(如電纜)之間的物理介面細節。
2. 網路層,也稱作網際層,處理資料包分組在網路中的活動,例如分組的選路和轉發等。網路層協議包括IP協議(網際協議)、ICMP協議(Internet網際網路控制報文協議),以及IGMP協議(Internet組管理協議)等。
3. 傳輸層,提供兩臺主機上的應用程式端到端的通訊。協議主要包括:TCP(傳輸控制協議)和UDP(使用者資料包協議)。TCP為兩臺主機提供高可靠性的資料通訊。而 UDP 提供盡力而為的通訊,通訊的可靠性需要應用層來提供。
4. 應用層,負責處理特定的應用程式邏輯。包括Telnet(遠端登入)、FTP(檔案傳輸協議)、SMTP(簡單郵件傳送協議)以及SNMP(簡單網路管理協議)等。
wireshark抓到的包與對應的協議層如下圖所示:
抓包介面顯示的結果和協議棧的層次關係正好相反,最上面的是物理層,最下面是應用層。具體的對應關係如下:
- Frame: 物理層的資料幀概況
- Ethernet II: 資料鏈路層乙太網幀頭部資訊
- Internet Protocol Version 4: 網際網路層IP包頭部資訊
- Transmission Control Protocol: 傳輸層的資料段頭部資訊,此處是TCP
- Hypertext Transfer Protocol: 應用層的資訊,此處是HTTP協議
02 TCP協議
TCP是一種面向連線(連線導向)的、可靠的基於位元組流的傳輸層通訊協議。TCP將使用者資料打包成報文段,傳送後會啟動一個定時器,然後另一端收到的資料進行確認、對失序的資料重新排序、丟棄重複資料。
TCP的特點有:
- TCP是面向連線的運輸層協議
- 每一條TCP連線只能有兩個端點,每一條TCP連線只能是點對點的
- TCP提供可靠交付的服務
- TCP提供全雙工通訊。資料在兩個方向上獨立的進行傳輸。因此,連線的每一端必須保持每個方向上的傳輸資料序號。
- 面向位元組流。面向位元組流的含義:雖然應用程式和TCP互動是一次一個資料塊,但應用程式交下來的資料僅僅是一連串的無結構的位元組流
TCP報文首部,如下圖所示:
- 源埠號:資料發起者的埠號,16bit
- 目的埠號:資料接收者的埠號,16bit
- 序號:32bit的序列號,由傳送方使用
- 確認序號:32bit的確認號,是接收資料方期望收到傳送方的下一個報文段的序號,因此確認序號應當是上次已成功收到資料位元組序號加1。
- 首部長度:首部中32bit字的數目,可表示15*32bit=60位元組的首部。一般首部長度為20位元組。
- 保留:6bit, 均為0
- 緊急URG:當URG=1時,表示報文段中有緊急資料,應儘快傳送。
- 確認位元ACK:ACK = 1時代表這是一個確認的TCP包,取值0則不是確認包。
- 推送位元PSH:當傳送端PSH=1時,接收端儘快的交付給應用程序。
- 復位位元(RST):當RST=1時,表明TCP連線中出現嚴重差錯,必須釋放連線,再重新建立連線。
- 同步位元SYN:在建立連線是用來同步序號。SYN=1, ACK=0表示一個連線請求報文段。SYN=1,ACK=1表示同意建立連線。
- 終止位元FIN:FIN=1時,表明此報文段的傳送端的資料已經傳送完畢,並要求釋放傳輸連線。
- 視窗:用來控制對方傳送的資料量,通知發放已確定的傳送視窗上限。
- 檢驗和:該欄位檢驗的範圍包括首部和資料這兩部分。由發端計算和儲存,並由收端進行驗證。
- 緊急指標:緊急指標在URG=1時才有效,它指出本報文段中的緊急資料的位元組數。
- 選項:長度可變,最長可達40位元組
wireshark捕獲到的TCP包中的每個欄位如下圖所示:
03 TCP三次握手
TCP建立連線時,會有三次握手過程,如下圖所示,wireshark截獲到了三次握手的三個資料包。第四個包才是http的,說明http的確是使用TCP建立連線的。
下面來逐步分析三次握手過程:
第一次握手: 客戶端向伺服器傳送連線請求包,標誌位SYN(同步序號)置為1,序號為X=0
第二次握手: 伺服器收到客戶端發過來報文,由SYN=1知道客戶端要求建立聯機。向客戶端傳送一個SYN和ACK都置為1的TCP報文,設定初始序號Y=0,將確認序號(Acknowledgement Number)設定為客戶的序列號加1,即X+1 = 0+1=1, 如下圖:
第三次握手: 客戶端收到伺服器發來的包後檢查確認序號(Acknowledgement Number)是否正確,即第一次傳送的序號加1(X+1=1)。以及標誌位ACK是否為1。若正確,客戶端再次傳送確認包,ACK標誌位為1,SYN標誌位為0。確認序號(Acknowledgement Number)=Y+1=0+1=1,傳送序號為X+1=1。伺服器收到後確認序號值與ACK=1則連線建立成功,可以傳送資料了。
04 TCP四次揮手
TCP斷開連線時,會有四次揮手過程,如下圖所示,wireshark截獲到了四次揮手的四個資料包。
下面來逐步分析四次揮手過程:
第一次揮手: 客戶端給伺服器傳送TCP包,用來關閉客戶端到伺服器的資料傳送。將標誌位FIN和ACK置為1,序號為X=1,確認序號為Z=1。
第二次揮手:伺服器收到FIN後,發回一個ACK(標誌位ACK=1),確認序號為收到的序號加1,即X=X+1=2。序號為收到的確認序號=Z。
第三次揮手:伺服器關閉與客戶端的連線,傳送一個FIN。標誌位FIN和ACK置為1,序號為Y=1,確認序號為X=2。
第四次揮手:客戶端收到伺服器傳送的FIN之後,發回ACK確認(標誌位ACK=1),確認序號為收到的序號加1,即Y+1=2。序號為收到的確認序號X=2。
OK,以上就是利用 wireshark 抓取 TCP 三次握手和四次揮手的過程,圖文並茂,這次再不理解就來打我