抓包查看TCP三次握手和四次挥手

首先先复习下TCP三次握手和四次护手的基本工作过程原理，如下图：

工作过程原理

通过wireshark抓包如下：

三次握手和四次挥手

三次握手：

三次握手

四次挥手：

四次挥手

中间数据传输：

TCP传输数据

会发现存在大量的TCP segment of a reassembled PDU，字面意思是要重组的协议数据单元（PDU：Protocol Data Unit）的TCP段，这是TCP层收到上层大块报文后分解成段后发出去。

每个数据包的Protocol Length都是2974 Byte，这是因为以太网帧的封包格式为：Frame = Ethernet Header + IP Header + TCP Header + TCP Segment Data。即：

1、Ethernet Header = 14 Byte = Dst Physical Address（6 Byte）+ Src Physical Address（6 Byte）+ Type（2 Byte），以太网帧头以下称之为数据帧。

2、IP Header = 20 Byte（without options field），数据在IP层称为Datagram，分片称为Fragment。

3、TCP Header = 20 Byte（without options field），数据在TCP层称为Stream，分段称为Segment（UDP中称为Message）。

4、TCP Segment Data = 2920 Byte（从下图可见）。

所以，每个数据包的Protocol Length = 14 Byte + 20 Byte + 20 Byte + 2920 Byte = 2974 Byte。

谈到这边我们再来复习下TCP状态机：

TCP协议的状态机 和 “TCP建链接”、“TCP断链接”、“传数据” 

参考链接：

https://www.cnblogs.com/163yun/p/9552368.html

https://time.geekbang.org/column/article/8975