学习计算机网络很久了,但总是局限于书本知识,感觉get不到重点。经师兄建议用wireshark抓包分析看看。
我自己以前并没有做过抓包分析,所以这篇博文可能会有很多错误,只是我自己的一个记录,路过的亲们千万别当成教程,以免误入歧途....
TCP协议首部:
在Filter中设置为:ip.dst == 222.199.191.33 or ip.src == 222.199.191.33
这个地址是干什么的不知道,只是跟它的交互特别多,就选他了。
分析第一个包:
源地址:我自己电脑的IP,就不放上来了
Destination: 222.199.191.33 目的地址
TCP:表明是个TCP协议
Length:66 表明包的长度是66个字节 ??
56739->443 :表明是从源地址的56739端口发送给目的地址的443端口
[SYN]表明这是一个TCP的同步请求,是TCP握手的第一步
Seq=0: TCP协议中的序号,这里为0.
在TCP中第一个SYN 包所包含的 sequence 是随机的,而第一个 SYN+ACK包里的sequence 也是随机的,wireshark 为了你便于观察都使用相对值,初始化这两个随机值为0,后面的sequence 和 acknowledge 都在上面累加
Win=8192: 发送报文段一方的接收窗口。TCP协议中的字段
Len=0: 发送文件TCP报文段Datas段的长度
MSS=1460: 最大报文段长度,指每个TCP报文段中数据字段的最大长度。它不包含首部长度。是TCP首部中,选项中的字段。
WS=256:窗口扩大因子;只能在连接建立阶段确定;在连接期间他的值不能够改变;新的窗口值=首部中定义的窗口值乘以2的(窗口扩大因子)的次方;由于窗口值不够用。选项中的字段。 ??书上说,窗口扩大选项占3个字节,其中一个字节表示移位值S,S最大为14,新的窗口值等于TCP首部中的窗口位数从16增大到(16+S)。可这里WS怎么会等于256呢??
答:这里的256是指窗口扩大了256倍,其S=8, 2的8次方 = 256. 符合S<=14. 打开软件下面TCP部分的详细说明,有介绍。
SACK_PERM=1: 允许选择确认。 TCP选项中的字段。
恩,总算了解一点点了,这些信息是TCP协议上的内容。
下面,分析一下详细的内容,点击上面的包,下面会出现详细的信息,比如下面这样:
分别是什么意思呢?
经我思索了半天,才恍然大悟,这是根据网络分层模型显示的不同层的内容。
Frame 551: 对应的是这个包的概略信息,里面有我们是否对其做过标记,怎么用彩色显示之类的内容。
Ethernet II: 对应网络接口层,表明采用Ethernet II的太网标准帧格式。
Internet Protocal Version 4: 对应网络层,表明采用IPv4
Transmission Control Protocol:对应传输层,表明采用TCP协议。
下面,一个一个点开,看看里面的详细内容。
Ethernet II:
可以看到源和目标的硬件地址。
unicast表示单播。
??那一堆的...是什么? LG IG又是什么??
答:那些点是指要标明的字段中非重要的信息未,重要的位的数字被显示出来了。
IPv4:
先把IP首部的格式放上来,有助于分析:
开始说明了使用的协议版本是IPv4, 首部长度是20字节。
Differentiated Services Field:区分服务字段
(DSCP 0x00: Default; ECN:0x00) 表示一个特定的上层协议所分配的重要级别,默认的DSCP值是0,相当于尽力传送,ECN字段被分为ECN-Capable Transport(ECT)bit和CEbit, ECT bit设置为0,表明该传输协议将忽略CE bit. CE bit 将由路由器设置,设置为0说明对末端节点不挤塞。
IP包的总长度为52字节,标志字段为1302
标识字段为0x02,表明没有分片,片偏移量为0,生存时间为128,上层协议为TCP
首部检验和下面的Good和Bad都是False, 我理解的是因为这是第一个包,不存在验证问题。
TCP
TCP协议:
大多在上面显示了。注意,下面Window scale:8,对应了上面红字问题1的解释。