利用科来网络分析进行三次握手协议分析 内容摘要定制过滤器开始抓包TCP三次握手分析
内容摘要
本文利用科来网络分析系统,对三次握手过程进行简单分析。三次握手详细内容自行百度。
定制过滤器打开软件进入数据包界面如下:
首先,定制过滤器,只抓取源或目的地址为本机IP地址、HTTP和TCP协议的数据包。如下图:
点击开始按钮进行抓包,这里我打开我们学校的教务处网站(http://jwc.zjnu.edu.cn/)
很短时间内,抓取到的数据包就达到了上千个,找到最早与教务处网站建立连接的数据包,如下:
为方便叙述,现设本地客服端为A机,教务处网站的服务器为B机。
上图第36条数据包TCP报文详细信息如下,该条数据包是三次握手中第一次交换TCP报文,A向B发出连接请求报文段,这时首部中的同步位SYN=1,同时选择一个初始序号seq1=4282510771。
第38条数据包TCP报文详细信息如下,该条数据包是三次握手中第二次交换TCP报文,B收到连接请求报文段后,如同意建立连接,则向A发送确认。在确认报文段中,确认位ACK=1,同步位SYN=1,确认号ack1=seq1+1=4282510772,同时B为自己选择一个初始序号seq2=1672844581。
第40条数据包TCP报文详细信息如下,该条数据包是三次握手中第三次交换TCP报文,A收到B的确认后,再次向B给出确认。置ACK=1,确认号ack2=seq2+1=1672844582,序列号seq3=seq1+1=4282510772。
至此,A进入ESTABLISHED状态,B再次接收到A的确认后也进入ESTABLISHED状态。
随后的若干条数据包如下,A的若干个端口均通过三次握手,与B建立起了TCP连接。然后便开始发送html文件,使用应用层HTTP协议。
查看第59条数据包所携带数据如下,该数据包为实际包含数据的第一条数据包。
查看教务处网站源码如下:
可以发现,第59条数据包发送的内容正是教务处网站html文件开头内容。
第59条数据包TCP报文详细信息如下,该条数据包总大小为1518字节,数据大小为1460字节,为B向A发送的数据。
第60条数据包TCP报文详细信息如下,该条数据包总大小为58字节,为A向B发送的确认信息。
第61条数据包TCP报文详细信息如下,该条数据包总大小为1518字节,为B向A发送的数据。
接受方一般都是采用累积确认的方式,所以在图8中,B向A发送若干数据包后,A才会向B发送一个确认数据包。