【socket】- Wireshark抓包分析TCP/IP三次握
简介
相信很多人都听说过tcp/ip协议中的三次握手建立连接和四次握手断开连接。在面试的时候,总会被面试官问及。然后很多人并不知道具体的过程。下面我将通过wireshark抓包工具来分析socket建立连接时的三次握手和断开连接的四次握手。
TCP/IP握手,数据传输,挥手
这里先恶补一下TCP/IP相关的知识,如果了解,可以直接滚动到下一节内容跳。
TCP:IP.jpeg
-
TCP中的FLAGS字段
SYN(synchronous):建立连接
ACK(acknowledgement): 响应
PSH(push):DATA数据传输
FIN(finish):关闭连接
RST(reset重置)
URG(urgent) 连接重置ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应,如果只是单个的一个SYN,它表示的只是建立连接。
TCP的几次握手就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的,因为前者表示的是建立连接,而后者表示的是断开连接。
RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;而当出现SYN和SYN+ACK包时,我们认为客户端与服务器建立了一个连接。
PSH为1的情况,一般只出现在 DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。
-
其它字段
Seq(Sequence number):顺序号码
Ack(Acknowledge number):确认号码 -
三次握手(建立连接)
第一次握手:主机A发送位码为syn=1,随机产生seqnumber=1234567的数据包 到服务器,主机B由SYN=1知道,A要求建立联机;第二次握手:主机B收到请求后要确认联机信息,向A发送ack number=(主机A的seq+1),syn=1,ack=1,随机产生seq=7654321的包
第三次握手:主机A收到后检查ack number是否正确,即第一次发送的seq number+1,以及位码ack是否为1,若正确,主机A会再发送ack number=(主机B的seq+1),ack=1,主机B收到后确认seq值与ack=1则连接建立成功。
-
四次握手(断开连接)
由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。这原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。第一次挥手:主动关闭方发送一个FIN=1,主动关闭方可以继续接受数据。
第二次挥手:被动关闭方发送一个ACK=1给对方。
第三次挥手:被动关闭方发送一个FIN=1。
第四次挥手:主动关闭方发送一个ACK=1给被动关闭方。
Wireshark抓包
这里我用socket做了一个长链接,当客户端连接成功后,服务端写数据到客户端。
192.168.2.2:服务端
192.168.2.4:客户端
服务端写数据代码
val p = ByteArray(l + 3)
p[0] = 1
p[1] = (l and 0x0000FF00 shr 8).toByte()
p[2] = (l and 0x000000FF).toByte()
d.copyInto(p,3,0,l)
outputStream.write(p)
outputStream.flush()
这里一共写了61个字节的数据,第二个和第三个放的是后面数据的长度(58个字节)。
抓包,过滤:ip.addr eq 192.168.2.2 and ip.addr eq 192.168.2.4
Wireshark_抓包.png
- 三次握手
No.分别是:2,3,4 -
数据传输
No.分别是:5,6
因为在三次握手成功后,服务端会写数据给客户端,所以这里有数据的传输,由于TCP是可靠传输,需要对接收到的TCP报文进行确认,所以有了No.为6的确认过程。
传输的数据可以从Wireshark窗口的Data处查看
Wireshark_data.png
- 四次挥手
No.分别是:254,274,282,302,303,其中有一个是发生了重传。
我是通过结束服务端进程(Android应用),来断开socket连接。其中254,274总274发生了重传,可以认为第一次挥手。
至于每个过程SYN,ACK,FIN,PSH的变化可以从Info栏可以清晰的看到。选择某一过程,点开下面对应的三角符号,可以查看更加详细的信息。
