此案例通过访问http://www.baidu.com来展示TCP的建立连接与释放连接的过程,本机的IP是192.168.4.100。

抓包过程

  1. 执行ping www.baidu.com命令解析www.baidu.com的IP。
C:\Users\Administrator>ping www.baidu.com

正在 Ping www.a.shifen.com [183.232.231.174] 具有 32 字节的数据:
来自 183.232.231.174 的回复: 字节=32 时间=46ms TTL=128
来自 183.232.231.174 的回复: 字节=32 时间=35ms TTL=128
来自 183.232.231.174 的回复: 字节=32 时间=37ms TTL=128
来自 183.232.231.174 的回复: 字节=32 时间=53ms TTL=128

183.232.231.174 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 35ms,最长 = 53ms,平均 = 42ms
  1. 由于节点与位置不一样,解析出来的IP也不一样。这次获得IP是183.232.231.174,通过wireshark的第一步网络捕获器里面对我的Ethernet0网卡进行抓包,并且用src or dst host 183.232.231.174进行过滤数据,避免获取到其他无相关的数据包。设置好后按回车,开始进行抓包。

fetch_www.baidu.com

  1. 为了排除浏览器的干扰,在cmd窗口中使用命令来对www.baidu.com进行请求curl http://www.baidu.com
C:\Users\Administrator>curl http://www.baidu.com
<!DOCTYPE html>
<!--STATUS OK--><html> <head><meta http-equiv=content-type content=text/html;charset=utf-8><meta http-equiv=X-UA-Compatible content=IE=Edge><meta content=always name=referrer><link rel=stylesheet type=text/css href=http://s1.bdstatic.com/r/www/cache/bdorz/baidu.min.css><title>百度一下,你就知道</title></head> <body link=#0000cc> <div id=wrapper> <div id=head> <div class=head_wrapper> <div class=s_form> <div class=s_form_wrapper> <div id=lg> <img hidefocus=true src=//www.baidu.com/img/bd_logo1.png width=270 height=129> </div> <form id=form name=f action=//www.baidu.com/s class=fm> <input type=hidden name=bdorz_come value=1> <input type=hidden name=ie value=utf-8> <input type=hidden name=f value=8> <input type=hidden name=rsv_bp value=1> <input type=hidden name=rsv_idx value=1> <input type=hidden name=tn value=baidu><span class="bg s_ipt_wr"><input id=kw name=wd class=s_ipt value maxlength=255 autocomplete=off autofocus></span><span class="bg s_btn_wr"><input type=submit id=su value=百度一下 class="bg s_btn"></span> </form> </div> </div> <div id=u1> <a href=http://news.baidu.com name=tj_trnews class=mnav>新闻</a> <a href=http://www.hao123.com name=tj_trhao123 class=mnav>hao123</a> <a href=http://map.baidu.com name=tj_trmap class=mnav>地图</a> <a href=http://v.baidu.com name=tj_trvideo class=mnav>视频</a> <a href=http://tieba.baidu.com name=tj_trtieba class=mnav>贴吧</a> <noscript> <a href=http://www.baidu.com/bdorz/login.gif?login&amp;tpl=mn&amp;u=http%3A%2F%2Fwww.baidu.com%2f%3fbdorz_come%3d1 name=tj_login class=lb>登录</a> </noscript> <script>document.write('<a href="http://www.baidu.com/bdorz/login.gif?login&tpl=mn&u='+ encodeURIComponent(window.location.href+ (window.location.search === "" ? "?" : "&")+ "bdorz_come=1")+ '" name="tj_login" class="lb">登录</a>');</script> <a href=//www.baidu.com/more/ name=tj_briicon class=bri style="display: block;">更多产品</a> </div> </div> </div> <div id=ftCon> <div id=ftConw> <p id=lh> <a href=http://home.baidu.com>关于百度</a> <a href=http://ir.baidu.com>About Baidu</a> </p> <p id=cp>&copy;2017&nbsp;Baidu&nbsp;<a href=http://www.baidu.com/duty/>使用百度前必读</a>&nbsp; <a href=http://jianyi.baidu.com/ class=cp-feedback>意见反馈</a>&nbsp;京ICP证030173号&nbsp; <img src=//www.baidu.com/img/gs.gif> </p> </div> </div> </div> </body> </html>
  1. 顺利的话,请求后在wireshark中可以看到整个建立连接、请求数据和释放连接的过程:

show_package_www.baidu.com

:如果没抓到包的话,重新ping www.baidu.com看看IP是不是变了。如果ping跟wireshark抓取的不是同一个IP,那么就会抓不到数据包。

用三次握手建立TCP连接

TCP_open_connect

前三个为三次握手,建立连接的数据包。在这几个包中可以看出:

  1. 第1个握手数据包192.168.4.100发送的报文中,SYN=1、Seq=0。希望与对方服务器进行同步通信,并把产生一个随机Seq=0。
  2. 第2个握手数据包183.232.231.174回应的报文中,SYN=1、ACK=1、Seq=0、并且Ack为第1个握手包的Seq+1就是0+1=1,也产生一个随机Seq=0。回复同步确认信息,给客户端做确认。
  3. 第3个握手数据包192.168.4.100发送的报文中,ACK=1、Seq为第2个包Ack的1、并且Ack为第2个握手包的Seq+1就是0+1=1。回复确认信息,给服务器做确认进行连接。

完成三次握手后,本机192.168.4.100与服务器183.232.231.174连接已经建立。

发送数据

第4到第9个包为正常的请求数据,由于是请求的是http的明文协议,可以在wireshark中看到有GET请求。完后本机192.168.4.100准备开始断开连接。

用四次握手释放TCP连接

TCP_close_connect

最后四个数据包为释放连接的数据包:

  1. 第10个数据包192.168.4.100发送的报文中,FIN=1、Seq=78。表示本机已经不再发送报文可以断开连接,并随机产生一个Seq序号。
  2. 第11个数据包183.232.231.174回应的报文中,ACK=1、并且Seq=2782、Ack为第10个包的Seq+1就是78+1=79。表示对刚刚的数据包进行确认,也产生随机产生一个Seq=2782,此时连接处于半关闭状态,本机已经不再发送数据,但是如果183.232.231.174还有数据要发过来,本机仍然可以接受。
  3. 第12个数据包183.232.231.174发送的报文中,FIN=1、ACK=1、并且Seq仍然是刚刚的2782、Ack仍然是第10个包的Seq+1就是78+1=79。由于有FIN表示数据已经发送完,告诉本机可以断开连接。
  4. 第12个数据包192.168.4.100回应的报文中,ACK=1、Seq为第12个包的Ack就是79、Ack为第12个包的Seq+1就是2783。告诉183.232.231.174已经收到给我FIN数据包,可以断开连接。