Wireshark簡介
更多有關Wireshark的教程、軟件下載等,請見:http://www.52im.net/thread-259-1-1.html,本文只作簡要介紹。
1Wireshark 是什么?
Wireshark 是最著名的網絡通訊抓包分析工具。功能十分強大,可以截取各種網絡封包,顯示網絡封包的詳細信息。
你可以把網絡包分析工具當成是一種用來測量有什么東西從網線上進出的測量工具,就好像使電工用來測量進入電信的電量的電度表一樣(當然比那個更高級)。過去的此類工具要么是過於昂貴,要么是屬於某人私有,或者是二者兼顧。 Wireshark出現以后,這種現狀得以改變。 Wireshark可能算得上是今天能使用的最好的開源網絡分析通訊抓包分析工具軟件。
2Wireshark的使用對象
Wireshark可以用在許多場合下,以下只是典型的使用對象舉例:
- 用來解決網絡問題網絡管理員;
- 用來檢測安全隱患網絡安全工程師;
- 用來測試諸如即時通訊軟件的協議執行情況的開發人員;
- 用來學習網絡通訊協議的學習、教師或愛好者。
使用wireshark的人必須了解網絡協議,否則就看不懂wireshark了。據說,華為、中興的大部分工程師都會用到wireshark。
相關資源
你也可查看即時通訊網(52im.net)的另一篇同類文章《理論經典:TCP協議的3次握手與4次揮手過程詳解》:http://www.52im.net/thread-258-1-1.html
更多資料請查閱《TCP/IP 詳解》這本書,目前即時通訊網(52im.net)已整理出了在線閱讀版。經典著作,值得收藏和隨時查閱,地址是:http://www.52im.net/topic-tcpipvol1.html
TCP/IP協議族
TCP/IP是一個協議族,通常分不同層次進行開發,每個層次負責不同的通信功能。包含以下四個層次:
1. 鏈路層:
也稱作數據鏈路層或者網絡接口層,通常包括操作系統中的設備驅動程序和計算機中對應的網絡接口卡。它們一起處理與電纜(或其他任何傳輸媒介)的物理接口細節。
2. 網絡層:
也稱作互聯網層,處理分組在網絡中的活動,例如分組的選路。網絡層協議包括IP協議(網際協議)、ICMP協議(Internet互聯網控制報文協議),以及IGMP協議(Internet組管理協議)。
3. 運輸層主要為兩台主機上的應用程序提供端到端的通信:
在TCP/IP協議族中,有兩個互不相同的傳輸協議:TCP(傳輸控制協議)和UDP(用戶數據報協議)。TCP為兩台主機提供高可靠性的數據通信。他所作的工作包括把應用程序交給它的數據分成合適的小塊交給下面的網絡層,確認接收到的分組,設置發送最后確認分組的超時時鍾等。由於運輸層提供了高可靠性的端到端通信,因此應用層可以忽略所有這些細節。而另一方面,UDP則為應用層提供一種非常簡單的服務。它只是把稱作數據報的分組從一台主機發送到另一台主機,但並不保證該數據報能到達另一端。任何必須的可靠性必須由應用層來提供。
4. 應用層負責處理特定的應用程序細節:
包括Telnet(遠程登錄)、FTP(文件傳輸協議)、SMTP(簡單郵件傳送協議)以及SNMP(簡單網絡管理協議)等。
wireshark抓到的包與對應的協議層如下圖所示:
1. Frame: 物理層的數據幀概況
2. Ethernet II: 數據鏈路層以太網幀頭部信息
3. Internet Protocol Version 4: 互聯網層IP包頭部信息
4. Transmission Control Protocol: 傳輸層的數據段頭部信息,此處是TCP
5. Hypertext Transfer Protocol: 應用層的信息,此處是HTTP協議。
(TCP/IP協議族關系圖高清珍藏版下載:http://www.52im.net/thread-180-1-1.html)
TCP協議簡介
TCP是一種面向連接(連接導向)的、可靠的基於字節流的傳輸層通信協議。TCP將用戶數據打包成報文段,它發送后啟動一個定時器,另一端收到的數據進行確認、對失序的數據重新排序、丟棄重復數據。
TCP的特點有:
- TCP是面向連接的運輸層協議
- 每一條TCP連接只能有兩個端點,每一條TCP連接只能是點對點的
- TCP提供可靠交付的服務
- TCP提供全雙工通信。數據在兩個方向上獨立的進行傳輸。因此,連接的每一端必須保持每個方向上的傳輸數據序號。
- 面向字節流。面向字節流的含義:雖然應用程序和TCP交互是一次一個數據塊,但TCP應用程序交下來的數據僅僅是一連串的無結構的字節流。
TCP報文首部,如下圖所示:(您也可參見《TCP/IP詳解》這本書里的對應介紹:http://docs.52im.net/extend/docs/book/tcpip/vol1/17/#h17_3)
1. 源端口號:數據發起者的端口號,16bit
2. 目的端口號:數據接收者的端口號,16bit
3. 序號:32bit的序列號,由發送方使用
4. 確認序號:32bit的確認號,是接收數據方期望收到發送方的下一個報文段的序號,因此確認序號應當是上次已成功收到數據字節序號加1。
5. 首部長度:首部中32bit字的數目,可表示15*32bit=60字節的首部。一般首部長度為20字節。
6. 保留:6bit, 均為0
7. 緊急URG:當URG=1時,表示報文段中有緊急數據,應盡快傳送。
8. 確認比特ACK:ACK = 1時代表這是一個確認的TCP包,取值0則不是確認包。
9. 推送比特PSH:當發送端PSH=1時,接收端盡快的交付給應用進程。
10. 復位比特(RST):當RST=1時,表明TCP連接中出現嚴重差錯,必須釋放連接,再重新建立連接。
11. 同步比特SYN:在建立連接是用來同步序號。SYN=1, ACK=0表示一個連接請求報文段。SYN=1,ACK=1表示同意建立連接。
12. 終止比特FIN:FIN=1時,表明此報文段的發送端的數據已經發送完畢,並要求釋放傳輸連接。
13. 窗口:用來控制對方發送的數據量,通知發放已確定的發送窗口上限。
14. 檢驗和:該字段檢驗的范圍包括首部和數據這兩部分。由發端計算和存儲,並由收端進行驗證。
15. 緊急指針:緊急指針在URG=1時才有效,它指出本報文段中的緊急數據的字節數。
16. 選項:長度可變,最長可達40字節。
wireshark捕獲到的TCP包中的每個字段如下圖所示:
通過Wireshark來理解TCP 3次握手過程
TCP建立連接時,會有三次握手過程,如下圖所示,wireshark截獲到了三次握手的三個數據包。第四個包才是http的,說明http的確是使用TCP建立連接的。
下面來逐步分析三次握手過程。
1第一次握手
客戶端向服務器發送連接請求包,標志位SYN(同步序號)置為1,序號為X=0。
2第二次握手
服務器收到客戶端發過來報文,由SYN=1知道客戶端要求建立聯機。向客戶端發送一個SYN和ACK都置為1的TCP報文,設置初始序號Y=0,將確認序號(Acknowledgement Number)設置為客戶的序列號加1,即X+1 = 0+1=1, 如下圖。
3第三次握手
客戶端收到服務器發來的包后檢查確認序號(Acknowledgement Number)是否正確,即第一次發送的序號加1(X+1=1)。以及標志位ACK是否為1。若正確,服務器再次發送確認包,ACK標志位為1,SYN標志位為0。確認序號(Acknowledgement Number)=Y+1=0+1=1,發送序號為X+1=1。客戶端收到后確認序號值與ACK=1則連接建立成功,可以傳送數據了。
通過Wireshark來理解TCP 4次揮手過程
TCP斷開連接時,會有四次揮手過程,如下圖所示,wireshark截獲到了四次揮手的四個數據包。
下面來逐步分析四次揮手過程。
1第一次揮手
客戶端給服務器發送TCP包,用來關閉客戶端到服務器的數據傳送。將標志位FIN和ACK置為1,序號為X=1,確認序號為Z=1。
2第二次揮手
服務器收到FIN后,發回一個ACK(標志位ACK=1),確認序號為收到的序號加1,即X=X+1=2。序號為收到的確認序號=Z。
3第三次揮手
服務器關閉與客戶端的連接,發送一個FIN。標志位FIN和ACK置為1,序號為Y=1,確認序號為X=2。
4第四次揮手
客戶端收到服務器發送的FIN之后,發回ACK確認(標志位ACK=1),確認序號為收到的序號加1,即Y+1=2。序號為收到的確認序號X=2。
http://blog.csdn.net/yanxi252515237/article/details/51955675