內容摘要
本文利用科來網絡分析系統,對三次握手過程進行簡單分析。三次握手詳細內容自行百度。
定製過濾器
打開軟件進入數據包界面如下:
首先,定製過濾器,只抓取源或目的地址爲本機IP地址、HTTP和TCP協議的數據包。如下圖:
開始抓包
點擊開始按鈕進行抓包,這裏我打開我們學校的教務處網站(http://jwc.zjnu.edu.cn/)
很短時間內,抓取到的數據包就達到了上千個,找到最早與教務處網站建立連接的數據包,如下:
爲方便敘述,現設本地客服端爲A機,教務處網站的服務器爲B機。
TCP三次握手分析
上圖第36條數據包TCP報文詳細信息如下,該條數據包是三次握手中第一次交換TCP報文,A向B發出連接請求報文段,這時首部中的同步位SYN=1,同時選擇一個初始序號seq1=4282510771。
第38條數據包TCP報文詳細信息如下,該條數據包是三次握手中第二次交換TCP報文,B收到連接請求報文段後,如同意建立連接,則向A發送確認。在確認報文段中,確認位ACK=1,同步位SYN=1,確認號ack1=seq1+1=4282510772,同時B爲自己選擇一個初始序號seq2=1672844581。
第40條數據包TCP報文詳細信息如下,該條數據包是三次握手中第三次交換TCP報文,A收到B的確認後,再次向B給出確認。置ACK=1,確認號ack2=seq2+1=1672844582,序列號seq3=seq1+1=4282510772。
至此,A進入ESTABLISHED狀態,B再次接收到A的確認後也進入ESTABLISHED狀態。
隨後的若干條數據包如下,A的若干個端口均通過三次握手,與B建立起了TCP連接。然後便開始發送html文件,使用應用層HTTP協議。
查看第59條數據包所攜帶數據如下,該數據包爲實際包含數據的第一條數據包。
查看教務處網站源碼如下:
可以發現,第59條數據包發送的內容正是教務處網站html文件開頭內容。
第59條數據包TCP報文詳細信息如下,該條數據包總大小爲1518字節,數據大小爲1460字節,爲B向A發送的數據。
第60條數據包TCP報文詳細信息如下,該條數據包總大小爲58字節,爲A向B發送的確認信息。
第61條數據包TCP報文詳細信息如下,該條數據包總大小爲1518字節,爲B向A發送的數據。
接受方一般都是採用累積確認的方式,所以在圖8中,B向A發送若干數據包後,A纔會向B發送一個確認數據包。