网站首页 > 资源文章 正文
回顾:TCP 三次握手&四次挥手
正式分享之前,先简单回顾一下 TCP 的三次握手、四次挥手。
Wireshark:窥探 HTTP 的协议包
HTTP 的工作方式其实很简单,首先由客户端向服务端发起一个请求,然后再由服务端回复一个响应。依据不同的场景,客户端发送的请求会用到不同方法,有 GET、POST、PUT 和 HEAD 等。
接下来将结合 Wireshark 抓到的包,来窥探一下 HTTP 是如何工作的。
如上图所示,抓取了从 10.1.1.101 访问 http://10.1.1.1:80/ 时的协议包。
由于 HTTP 协议基于 TCP 实现,一次完整的 HTTP 请求响应主要分三次握手、数据传输(请求&响应)、四次挥手三个阶段,我们一层一层拨开了去看。
阶段一:三次握手(建立连接)
由于 HTTP 协议基于 TCP,所以上来要进行三次握手,并且能够看出客户端地址为 10.1.1.101,端口为 3177,服务端地址为 10.1.1.1,端口为 80,通过三次握手建立连接后,便可以向服务端发送请求传输内容了。
阶段二:请求&响应(数据传输)
上面截图中的 4 号包是客户端向服务端发送“GET / HTTP/1.1”请求,即通过 1.1 版的 HTTP 协议发送请求,协议包内容如下。
通过上面抓包,能够清晰看出请求方式为 GET,以及客户端的一些环境信息,请求相关的信息,清晰可见。这里多关注一下 Response in frame:6,告诉请求对应的响应包是 6 号包,接下来打开 6 号包看一下响应内容。
6 号包是服务端对客户端请求的响应,即把响应页面内容发给客户端,通过上图能够看出响应的是一个 HTML 页面,内容清晰可见。
阶段三:四次挥手(断开连接)
如上图示意,可以看到四次断开的挥手包,编号分别为 7、8、9 和11。从 Info 列可以看到这四个包的标志位分别为 FIN,ACK、ACK、FIN,ACK 和 ACK。下面依次分析 TCP 的四次断开连接数据包。
第一次挥手:
源端口 80 向目标端口 3177,发送 FIN 数据报,序列号为 436,确认序列号为 477。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中,ACK 和 FIN 标志位值为 1,其它标志位都为 0。
第二次挥手:
如上图所示,从 TCP 协议层可以看到,源端口为 3177,目标端口为 80,序列号为 477,确认号为 437。从 Flags 分支中可以看到,当前报文的标志位为 ACK。其中 ACK 标志位值为 1,其他标志位都为 0。
第三次挥手:
如上图所示,从 IP 协议层可以看到,源地址为 10.1.1.101,目标 IP 地址为 10.1.1.1。从 TCP 协议层可以看到,源端口为 3177,目标端口为 80,序列号为 477,确认号为 437。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中 ACK 和 FIN 标志位值为 1,其它标志位都为 0。
第四次挥手:
如上图所示,可以看到源端口为 80,目标端口为 3177,序列号为437,确认号为 478。从 Flags 分支中可以看到该报文的标志位为ACK。其中 ACK 标志位值为 1,其它标志位都为 0。
到这,虽然只分析了一个简单 HTTP 请求,但是结合 Wirkeshark 细细去想,整个通信过程确实还挺复杂,不过整个过程确实是一览无遗,那么试想一下平时的聊天记录,是否会被(BOSS)发现?很不幸,答案是肯定的。
Wireshark:HTTP 响应分析
借助 Wireshark 的“显示分组字节”功能,很容易就能看到 HTTP 的响应内容。
例如1:从服务端下载文件
上面截图是通过 Wireshark 分析下载图片的数据包,借助 Wireshark 的“显示分组字节”功能,便可轻松看到图片内容。
例如2:服务端响应 HTML
借助 Wireshark 的“显示分组字节”功能,很轻松看到服务端响应给客户端的 HTML 内容。
感兴趣的老铁,纸上得来终觉浅,希望能亲自通过 Wireshark 好好去体验体验。
写在最后
本次 Wireshark 分享就写到这里,为了能够让分享不出现纰漏,查阅了很多文档、书籍以及官方资料,归纳汇总一下给老铁,希望对老铁能有所帮助。
资料分享:
经典例子:https://gitlab.com/wireshark/wireshark/-/wikis/SampleCaptures
官方文档:https://www.wireshark.org/docs/wsug_html_chunked/文章分享的数据包可以从这里 get 到:
https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/http_with_jpegs.cap.gz
https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/200722_tcp_anon.pcapng参考书籍:
《从实践中学习Wireshark数据分析》
《Wireshark网络分析就是这么简单》
一起聊技术、谈业务、喷架构,少走弯路,不踩大坑。会持续输出精彩分享,敬请期待!
历史推文:
- 上一篇: 45张图带你从入门到精通学习WireShark
- 下一篇: 抓包神器wireshark安装保姆级教程
猜你喜欢
- 2025-08-02 干货!细看wireshark下IP报文[附带TCP详解]
- 2025-08-02 一个最简单的通过WireShark破解SSL加密网络数据包的方法
- 2025-08-02 wireshark抓包工具如何使用(二)
- 2025-08-02 使用tcpdump 和 Wireshark进行简单TCP抓包分析
- 2025-08-02 使用Wireshark及路由器远程抓包分析联通IPTV直播、回看及点播源
- 2025-08-02 TCP协议在wireshark下的详细格式介绍
- 2025-08-02 wireshark(tshark)将8089等非标准端口按http协议解析的方法
- 2025-08-02 掌握Wireshark抓包工具的10个实用技巧,网络工程师必看!
- 2025-08-02 tcpdump/wireshark 抓包及分析
- 2025-08-02 玩玩抓包-Wireshark的使用(6)菜单栏之捕获
欢迎 你 发表评论:
- 最近发表
-
- 干货!细看wireshark下IP报文[附带TCP详解]
- 一个最简单的通过WireShark破解SSL加密网络数据包的方法
- wireshark抓包工具如何使用(二)
- 使用tcpdump 和 Wireshark进行简单TCP抓包分析
- 使用Wireshark及路由器远程抓包分析联通IPTV直播、回看及点播源
- TCP协议在wireshark下的详细格式介绍
- wireshark(tshark)将8089等非标准端口按http协议解析的方法
- 掌握Wireshark抓包工具的10个实用技巧,网络工程师必看!
- tcpdump/wireshark 抓包及分析
- 玩玩抓包-Wireshark的使用(6)菜单栏之捕获
- 标签列表
-
- 电脑显示器花屏 (79)
- 403 forbidden (65)
- linux怎么查看系统版本 (54)
- 补码运算 (63)
- 缓存服务器 (61)
- 定时重启 (59)
- plsql developer (73)
- 对话框打开时命令无法执行 (61)
- excel数据透视表 (72)
- oracle认证 (56)
- 网页不能复制 (84)
- photoshop外挂滤镜 (58)
- 网页无法复制粘贴 (55)
- vmware workstation 7 1 3 (78)
- jdk 64位下载 (65)
- phpstudy 2013 (66)
- 卡通形象生成 (55)
- psd模板免费下载 (67)
- shift (58)
- localhost打不开 (58)
- 检测代理服务器设置 (55)
- frequency (66)
- indesign教程 (55)
- 运行命令大全 (61)
- ping exe (64)
本文暂时没有评论,来添加一个吧(●'◡'●)