wireshark学习笔记：TCP协议抓包分析

Posted 2021-04-15 鸢尾楚楚

TCP Transmission Control Protocol传输控制协议，面向连接的、可靠的、基于IP的传输层协议。提供可靠的端到端传输。

三次握手建立连接

wireshark怎么观察三次握手的过程，可以点击下面的链接，进行查看

四次断开

第一次挥手：客户端给服务器发送TCP包，用来关闭客户端到服务器的数据传送。将标志位FIN和ACK置为1，序号为X=1，确认序号为Z=1。

第二次挥手：服务器收到FIN后，发回一个ACK(标志位ACK=1),确认序号为收到的序号加1，即X=X+1=2。序号为收到的确认序号=Z。

第三次挥手：服务器关闭与客户端的连接，发送一个FIN。标志位FIN和ACK置为1，序号为Y=1，确认序号为X=2。

第四次挥手：客户端收到服务器发送的FIN之后，发回ACK确认(标志位ACK=1),确认序号为收到的序号加1，即Y+1=2。序号为收到的确认序号X=2。

0~1023 标准端口组

1024~65535 临时端口组

RST标志用来指出连接异常中止或拒绝连接请求的包

HTTP运行在TCP协议之上

捕获TCP四次断开的数据包，手动关闭Web网页，Info列中标志位为【FIN,ACK】的包就是捕获的TCP四次断开的数据包。

过滤SYN=1的数据包（三次握手）： tcp.flags.syn==1

过滤FIN=1的数据包（四次断开）: tcp.flags.fin==1

重置数据包：tcp.flags.reset==1