whireshark工具使用和tcp报文学习心得
2015-11-12 14:31
561 查看
一、whireshark
1、抓取数据包是为了分析传输的数据,需要耐心和淡定;主要用到如下功能即可。
2、Follow TCP Stream是用来获取整个TCP报文交互的所有数据包;
3、Apply as Filter用于筛选出需要查看的IP地址,查看该IP所有的交互信息;
4、主要查看的是TCP报文的交互过程:
a、SYN、SYN+ACK、ACK
b、Seq、Ack、Len(Seq为当前发送方(源IP端)发送的序列号,也是之前发送了的数据包长度的总和;Ack为接收方(目的IP端)之前发送的数据包长度的总和,也是下一次目的IP端发送时的序列号Seq,Len为当前发送的数据包的长度)
二、tcp:及是根据标志位进行发送接收数据来确保数据的可靠传输;由于缓冲区的大小有限,滑动窗口可以理解为一个队列,以一个长度的范围比作窗口,接收端和发送端协商窗口的大小和剩余可接收数据的大小,内存从窗口的尾部去取数据用于处理,同时把接收到的数据放于窗口的头部,不断的移动,故称为滑动窗口。
标志(Code Bits):6位标志域。表示为:紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是:URG、ACK、PSH、RST、SYN、FIN。
1. URG:紧急标志
紧急(The urgent pointer) 标志有效。紧急标志置位,
2. ACK:确认标志
确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1,Figure:1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。
3. PSH:推标志
该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。在处理 telnet 或rlogin 等交互模式的连接时,该标志总是置位的。
4. RST:复位标志
复位标志有效。用于复位相应的TCP连接。
5. SYN:同步标志
同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。在这里,可以把TCP序列编号看作是一个范围从0到4,294,967,295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。
6. FIN:结束标志
带有该标志置位的数据包用来结束一个TCP回话,但对应端口仍处于开放状态,准备接收后续数据。
窗口(Window):16位,用来表示想收到的每个TCP数据段的大小。
校验位(Checksum):16位TCP头。源机器基于数据内容计算一个数值,收信息机要与源机器数值 结果完全一样,从而证明数据的有效性。
优先指针(紧急,Urgent Pointer):16位,指向后面是优先数据的字节,在URG标志设置了时才有效。如果URG标志没有被设置,紧急域作为填充。加快处理标示为紧急的数据段。
选项(Option):长度不定,但长度必须以字节。如果 没有 选项就表示这个一字节的域等于0。
数据(Date):应用程序的数据。
以下为转载:滑动窗口和流量控制
如果发送端发送的速度较快,接收端接收到数据后处理的速度较慢,而接收缓冲区的大小是固定的,就会丢失数据。TCP协议通过'''滑动窗口(SlidingWindow)'''机制解决这一问题。看下图的通讯过程。
1. 发送端发起连接,声明最大段尺寸是1460,初始序号是0,窗口大小是4K,表示“我的接收缓冲区还有4K字节空闲,你发的数据不要超过4K”。接收端应答连接请求,声明最大段尺寸是1024,初始序号是8000,窗口大小是6K。发送端应答,三方握手结束。
2. 发送端发出段4-9,每个段带1K的数据,发送端根据窗口大小知道接收端的缓冲区满了,因此停止发送数据。
3. 接收端的应用程序提走2K数据,接收缓冲区又有了2K空闲,接收端发出段10,在应答已收到6K数据的同时声明窗口大小为2K。
4. 接收端的应用程序又提走2K数据,接收缓冲区有4K空闲,接收端发出段11,重新声明窗口大小为4K。
5. 发送端发出段12-13,每个段带2K数据,段13同时还包含FIN位。
6. 接收端应答接收到的2K数据(6145-8192),再加上FIN位占一个序号8193,因此应答序号是8194,接收端同时声明窗口大小为2K。
7. 接收端的应用程序提走2K数据,接收端重新声明窗口大小为4K。
8. 接收端的应用程序提走剩下的2K数据,接收缓冲区全空,接收端重新声明窗口大小为6K。
9. 接收端的应用程序在提走全部数据后,决定关闭连接,发出段17包含FIN位,发送端应答,连接完全关闭。
上图在接收端用小方块表示1K数据,实心的小方块表示已接收到的数据,虚线框表示接收缓冲区,因此套在虚线框中的空心小方块表示窗口大小,从图中可以看出,随着应用程序提走数据,虚线框是向右滑动的,因此称为滑动窗口。
从这个例子还可以看出,发送端是一K一K地发送数据,而接收端的应用程序可以两K两K地提走数据,当然也有可能一次提走3K或6K数据,或者一次只提走几个字节的数据,也就是说,应用程序所看到的数据是一个整体,或说是一个流(stream),一条消息有多少字节对应用程序是不可见的,因此TCP协议是面向流的协议,这也是容易出现粘包问题的原因。而UDP是面向消息的协议,每个UDP段都是一条消息,应用程序必须以消息为单位提取数据,不能一次提取任意字节的数据,这一点和TCP是很不同的。
1、抓取数据包是为了分析传输的数据,需要耐心和淡定;主要用到如下功能即可。
2、Follow TCP Stream是用来获取整个TCP报文交互的所有数据包;
3、Apply as Filter用于筛选出需要查看的IP地址,查看该IP所有的交互信息;
4、主要查看的是TCP报文的交互过程:
a、SYN、SYN+ACK、ACK
b、Seq、Ack、Len(Seq为当前发送方(源IP端)发送的序列号,也是之前发送了的数据包长度的总和;Ack为接收方(目的IP端)之前发送的数据包长度的总和,也是下一次目的IP端发送时的序列号Seq,Len为当前发送的数据包的长度)
二、tcp:及是根据标志位进行发送接收数据来确保数据的可靠传输;由于缓冲区的大小有限,滑动窗口可以理解为一个队列,以一个长度的范围比作窗口,接收端和发送端协商窗口的大小和剩余可接收数据的大小,内存从窗口的尾部去取数据用于处理,同时把接收到的数据放于窗口的头部,不断的移动,故称为滑动窗口。
标志(Code Bits):6位标志域。表示为:紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是:URG、ACK、PSH、RST、SYN、FIN。
1. URG:紧急标志
紧急(The urgent pointer) 标志有效。紧急标志置位,
2. ACK:确认标志
确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1,Figure:1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。
3. PSH:推标志
该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。在处理 telnet 或rlogin 等交互模式的连接时,该标志总是置位的。
4. RST:复位标志
复位标志有效。用于复位相应的TCP连接。
5. SYN:同步标志
同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。在这里,可以把TCP序列编号看作是一个范围从0到4,294,967,295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。
6. FIN:结束标志
带有该标志置位的数据包用来结束一个TCP回话,但对应端口仍处于开放状态,准备接收后续数据。
窗口(Window):16位,用来表示想收到的每个TCP数据段的大小。
校验位(Checksum):16位TCP头。源机器基于数据内容计算一个数值,收信息机要与源机器数值 结果完全一样,从而证明数据的有效性。
优先指针(紧急,Urgent Pointer):16位,指向后面是优先数据的字节,在URG标志设置了时才有效。如果URG标志没有被设置,紧急域作为填充。加快处理标示为紧急的数据段。
选项(Option):长度不定,但长度必须以字节。如果 没有 选项就表示这个一字节的域等于0。
数据(Date):应用程序的数据。
以下为转载:滑动窗口和流量控制
如果发送端发送的速度较快,接收端接收到数据后处理的速度较慢,而接收缓冲区的大小是固定的,就会丢失数据。TCP协议通过'''滑动窗口(SlidingWindow)'''机制解决这一问题。看下图的通讯过程。
1. 发送端发起连接,声明最大段尺寸是1460,初始序号是0,窗口大小是4K,表示“我的接收缓冲区还有4K字节空闲,你发的数据不要超过4K”。接收端应答连接请求,声明最大段尺寸是1024,初始序号是8000,窗口大小是6K。发送端应答,三方握手结束。
2. 发送端发出段4-9,每个段带1K的数据,发送端根据窗口大小知道接收端的缓冲区满了,因此停止发送数据。
3. 接收端的应用程序提走2K数据,接收缓冲区又有了2K空闲,接收端发出段10,在应答已收到6K数据的同时声明窗口大小为2K。
4. 接收端的应用程序又提走2K数据,接收缓冲区有4K空闲,接收端发出段11,重新声明窗口大小为4K。
5. 发送端发出段12-13,每个段带2K数据,段13同时还包含FIN位。
6. 接收端应答接收到的2K数据(6145-8192),再加上FIN位占一个序号8193,因此应答序号是8194,接收端同时声明窗口大小为2K。
7. 接收端的应用程序提走2K数据,接收端重新声明窗口大小为4K。
8. 接收端的应用程序提走剩下的2K数据,接收缓冲区全空,接收端重新声明窗口大小为6K。
9. 接收端的应用程序在提走全部数据后,决定关闭连接,发出段17包含FIN位,发送端应答,连接完全关闭。
上图在接收端用小方块表示1K数据,实心的小方块表示已接收到的数据,虚线框表示接收缓冲区,因此套在虚线框中的空心小方块表示窗口大小,从图中可以看出,随着应用程序提走数据,虚线框是向右滑动的,因此称为滑动窗口。
从这个例子还可以看出,发送端是一K一K地发送数据,而接收端的应用程序可以两K两K地提走数据,当然也有可能一次提走3K或6K数据,或者一次只提走几个字节的数据,也就是说,应用程序所看到的数据是一个整体,或说是一个流(stream),一条消息有多少字节对应用程序是不可见的,因此TCP协议是面向流的协议,这也是容易出现粘包问题的原因。而UDP是面向消息的协议,每个UDP段都是一条消息,应用程序必须以消息为单位提取数据,不能一次提取任意字节的数据,这一点和TCP是很不同的。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- org.http.HttpResponse cannot be resolved 错误
- 搭建中级注册码(网络验证码)系统教程
- 无网络centos7中部署kubernetes
- HttpServlet的方法
- HttpClient使用详解
- 导入网络表
- HTTPS、SPDY和HTTP/2的性能比较
- 网络文件下载
- 关于安卓HTTP请求用HttpUrlConnection还是HttpClient好
- centos ningx 下安装https
- HttpServletRequest中得到各种信息
- Flowplayer 播放RTMP协议的网络地址并准确记录视频播放的动作以播放的时长
- 在eclipse中往远程库中push代码遇到下面的错误 https://git.ms.netease.com/kanghuaisong/Git_demo.git: cannot open git-up
- 一个图形的算法网站: http://visualgo.net/
- 图标库网络地址
- 习近平与“十三五”十四大战略:网络强国战略
- Java for Web学习笔记(六):Servlet(4)HttpServletResponse
- python网络编程(TCP客户端/服务器端实现)
- 思科三层交换机策略路由实现网络接入分流
- php Basic HTTP与Digest HTTP 应用