TCP:

TCP/IP通過(guò)三次握手建立一個(gè)連接。這一過(guò)程中的三種報(bào)文是：SYN，SYN/ACK，ACK。

***步是找到PC發(fā)送到網(wǎng)絡(luò)服務(wù)器的***個(gè)SYN報(bào)文，這標(biāo)識(shí)了TCP三次握手的開(kāi)始。

如果你找不到***個(gè)SYN報(bào)文，選擇Edit -> Find Packet菜單選項(xiàng)。選擇Display Filter，輸入過(guò)濾條件：tcp.flags，這時(shí)會(huì)看到一個(gè)flag列表用于選擇。選擇合適的flag，tcp.flags.syn并且加上==1。點(diǎn)擊Find，之后trace中的***個(gè)SYN報(bào)文就會(huì)高亮出來(lái)了。

注意：Find Packet也可以用于搜索十六進(jìn)制字符，比如惡意軟件信號(hào)，或搜索字符串，比如抓包文件中的協(xié)議命令。

一個(gè)快速過(guò)濾TCP報(bào)文流的方式是在Packet List Panel中右鍵報(bào)文，并且選擇Follow TCP Stream。這就創(chuàng)建了一個(gè)只顯示TCP會(huì)話(huà)報(bào)文的自動(dòng)過(guò)濾條件。

這一步驟會(huì)彈出一個(gè)會(huì)話(huà)顯示窗口，默認(rèn)情況下包含TCP會(huì)話(huà)的ASCII代碼，客戶(hù)端報(bào)文用紅色表示服務(wù)器報(bào)文則為藍(lán)色。

窗口類(lèi)似下圖所示，對(duì)于讀取協(xié)議有效載荷非常有幫助，比如HTTP，SMTP，F(xiàn)TP。

更改為十六進(jìn)制Dump模式查看載荷的十六進(jìn)制代碼，如下圖所示：

關(guān)閉彈出窗口，Wireshark就只顯示所選TCP報(bào)文流?，F(xiàn)在可以輕松分辨出3次握手信號(hào)。

注意：這里Wireshark自動(dòng)為此TCP會(huì)話(huà)創(chuàng)建了一個(gè)顯示過(guò)濾。本例中：(ip.addr eq 192.168.1.2 and ip.addr eq 209.85.227.19) and (tcp.port eq 80 and tcp.port eq 52336)

SYN報(bào)文：

圖中顯示的5號(hào)報(bào)文是從客戶(hù)端發(fā)送至服務(wù)器端的SYN報(bào)文，此報(bào)文用于與服務(wù)器建立同步，確?？蛻?hù)端和服務(wù)器端的通信按次序傳輸。SYN報(bào)文的頭部有一個(gè)32 bit序列號(hào)。底端對(duì)話(huà)框顯示了報(bào)文一些有用信息如報(bào)文類(lèi)型，序列號(hào)。

SYN/ACK報(bào)文：

7號(hào)報(bào)文是服務(wù)器的響應(yīng)。一旦服務(wù)器接收到客戶(hù)端的SYN報(bào)文，就讀取報(bào)文的序列號(hào)并且使用此編號(hào)作為響應(yīng)，也就是說(shuō)它告知客戶(hù)機(jī)，服務(wù)器接收到了SYN報(bào)文，通過(guò)對(duì)原SYN報(bào)文序列號(hào)加一并且作為響應(yīng)編號(hào)來(lái)實(shí)現(xiàn)，之后客戶(hù)端就知道服務(wù)器能夠接收通信。

ACK報(bào)文：

8號(hào)報(bào)文是客戶(hù)端對(duì)服務(wù)器發(fā)送的確認(rèn)報(bào)文，告訴服務(wù)器客戶(hù)端接收到了SYN/ACK報(bào)文，并且與前一步一樣客戶(hù)端也將序列號(hào)加一，此包發(fā)送完畢，客戶(hù)端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)，完成三次握手。#p#

ARP & ICMP：

開(kāi)啟Wireshark抓包。打開(kāi)Windows控制臺(tái)窗口，使用ping命令行工具查看與相鄰機(jī)器的連接狀況。

停止抓包之后，Wireshark如下圖所示。

ARP和ICMP報(bào)文相對(duì)較難辨認(rèn)，創(chuàng)建只顯示ARP或ICMP的過(guò)濾條件。

ARP報(bào)文：

地址解析協(xié)議，即ARP(Address Resolution Protocol)，是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。其功能是：主機(jī)將ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，確定目標(biāo)IP地址的物理地址，同時(shí)將IP地址和硬件地址存入本機(jī)ARP緩存中，下次請(qǐng)求時(shí)直接查詢(xún)ARP緩存。

最初從PC發(fā)出的ARP請(qǐng)求確定IP地址192.168.1.1的MAC地址，并從相鄰系統(tǒng)收到ARP回復(fù)。ARP請(qǐng)求之后，會(huì)看到ICMP報(bào)文。

ICMP報(bào)文：

網(wǎng)絡(luò)控制消息協(xié)定(Internet Control Message Protocol，ICMP)用于TCP/IP網(wǎng)絡(luò)中發(fā)送控制消息，提供可能發(fā)生在通信環(huán)境中的各種問(wèn)題反饋，通過(guò)這些信息，令管理者可以對(duì)所發(fā)生的問(wèn)題作出診斷，然后采取適當(dāng)?shù)拇胧┙鉀Q。

PC發(fā)送echo請(qǐng)求，收到echo回復(fù)如上圖所示。ping報(bào)文被mark成Type 8，回復(fù)報(bào)文mark成Type 0。

如果多次ping同一系統(tǒng)，在PC上刪除ARP cache，使用如下ARP命令之后，會(huì)產(chǎn)生一個(gè)新的ARP請(qǐng)求。

C:\> ping 192.168.1.1

... ping output ...

C:\> arp –d *

HTTP：

HTTP協(xié)議是目前使用最廣泛的一種基礎(chǔ)協(xié)議，這得益于目前很多應(yīng)用都基于WEB方式，實(shí)現(xiàn)容易，軟件開(kāi)發(fā)部署也簡(jiǎn)單，無(wú)需額外的客戶(hù)端，使用瀏覽器即可使用。這一過(guò)程開(kāi)始于請(qǐng)求服務(wù)器傳送網(wǎng)絡(luò)文件。

從上圖可見(jiàn)報(bào)文中包括一個(gè)GET命令，當(dāng)HTTP發(fā)送初始GET命令之后，TCP繼續(xù)數(shù)據(jù)傳輸過(guò)程，接下來(lái)的鏈接過(guò)程中HTTP會(huì)從服務(wù)器請(qǐng)求數(shù)據(jù)并使用TCP將數(shù)據(jù)傳回客戶(hù)端。傳送數(shù)據(jù)之前，服務(wù)器通過(guò)發(fā)送HTTP OK消息告知客戶(hù)端請(qǐng)求有效。如果服務(wù)器沒(méi)有將目標(biāo)發(fā)送給客戶(hù)端的許可，將會(huì)返回403 Forbidden。如果服務(wù)器找不到客戶(hù)端所請(qǐng)求的目標(biāo)，會(huì)返回404。

如果沒(méi)有更多數(shù)據(jù)，連接可被終止，類(lèi)似于TCP三次握手信號(hào)的SYN和ACK報(bào)文，這里發(fā)送的是FIN和ACK報(bào)文。當(dāng)服務(wù)器結(jié)束傳送數(shù)據(jù)，就發(fā)送FIN/ACK給客戶(hù)端，此報(bào)文表示結(jié)束連接。接下來(lái)客戶(hù)端返回ACK報(bào)文并且對(duì)FIN/ACK中的序列號(hào)加1。這就從服務(wù)器端終止了通信。要結(jié)束這一過(guò)程客戶(hù)端必須重新對(duì)服務(wù)器端發(fā)起這一過(guò)程。必須在客戶(hù)端和服務(wù)器端都發(fā)起并確認(rèn)FIN/ACK過(guò)程。

附錄：網(wǎng)絡(luò)協(xié)議報(bào)文結(jié)構(gòu)與抓包示例

TCP/IP協(xié)議棧

以太網(wǎng)幀示例

IP數(shù)據(jù)報(bào)格式

IP報(bào)文示例

UDP幀結(jié)構(gòu)

TCP消息結(jié)構(gòu)

TCP報(bào)文示例