Wireshark捕获理解TCP三次握手四次断开

1. TCP定义：

网络七层模型当中传输层的协议主要是TCP ，由IETF的RFC 793定义,TCP(Transimision Control Protocal)是一种可靠的、面向链接、基于字节流的通讯协议，传输效率低。而传输层位于七层模型的中间,下面是网络层,上面的话有应用层,承上启下,地位仍是很重要的。在传输层中还有一种协议udp(无链接、不保证可靠性)。相比较来讲tcp有如下特色：

• 传输可靠，数据丢失有重传机制
• 数据分段打包传输，对每一个数据编号，控制顺序
• 流量控制，避免拥塞，由于TCP连接双方有固定大小缓冲空间。TCP的接收端只容许另外一端发送接收端缓冲区所能接纳的数据
• TCP提供全双工服务，即数据可在同一时间双向传播。
• TCP将若干个字节构成一个分组，此分组称为报文段(Segment)。提供了一种端到端的链接。 

2. TCP数据包格式

• 源端口号（source port） 和目标端口号（destination port）都是16位，计算机经过端口号识别访问哪一个服务,好比http服务或ftp服务，其中发送方端口号是是随机的，而目标端口号决定接受方由那个程序来接受而且由于是16位,因此说程序的最大端口号65535
• 32位序列号（sequence Number） TCP用序列号对数据包进行标记，以便在到达目的地后从新重装，假设当前的序列号为 s，发送数据长度为 l，则下次发送数据时的序列号为 s + l。在创建链接时一般由计算机生成一个随机数做为序列号的初始值
• 确认应答号（acknowledgement number） 它等于下一次应该接收到的数据的序列号。假设发送端的序列号为 s，发送数据的长度为 l，那么接收端返回的确认应答号也是 s + l。发送端接收到这个确认应答后，能够认为这个位置之前全部的数据都已被正常接收。
• 首部长度（header length）：TCP 首部的长度，单位为 4 字节。若是没有可选字段，那么这里的值就是 5。表示 TCP 首部的长度为 20 字节。
• 控制位 TCP的链接、传输和断开都受这六个控制位的指挥
  • PSH(push急迫位) 缓存区将满，马上传输速度，表示有 DATA数据传输
  • RST(reset重置位) 链接断了从新链接
  • URG(urgent紧急位) 紧急信号
  • ACK(acknowledgement 确认)为1表示确认号
  • SYN(synchronous创建联机，在创建TCP链接的时候使用) 同步序号位 TCP创建链接时要将这个值设为1
  • FIN发送端完成位，表示没有数据须要发送了，提出断开链接的一方把FIN置为1表示要断开链接
• 窗口值 说明本地可接收数据段的数目，这个值的大小是可变的。当网络通畅时将这个窗口值变大加快传输速度，当网络不稳定时减小这个值能够保证网络数据的可靠传输。它是来在TCP传输中进行流量控制的
• 窗口大小（windows）：表示接收缓冲区的空闲空间，16位，用来告诉TCP连接另外一端本身可以接收的最大数据长度，流量控制的机制就基于此。
• 效验和（checksum）: 用来作差错控制，TCP校验和的计算包括TCP首部、数据和其它填充字节。在发送TCP数据段时，由发送端计算校验和，当到达目的地时又进行一次检验和计算。若是两次校验 和一致说明数据是正确的，不然 将认为数据被破坏，接收端将丢弃该数据
• 紧急指针（urgent）：16位，尽在 URG(urgent紧急) 控制位为 1 时有效。表示紧急数据的末尾在 TCP 数据部分中的位置。一般在暂时中断通讯时使用（好比输入 Ctrl + C）。

3. 三次握手

为了方便描述咱们将主动发起请求的172.16.17.94:8080 主机称为客户端，将返回数据的主机172.16.17.94:8080称为服务器，如下也是。

• 第一次握手: 创建链接。客户端发送链接请求，发送SYN报文，将seq设置为0。而后，客户端进入SYN_SEND状态，等待服务器的确认。
• 第二次握手: 服务器收到客户端的SYN报文段。须要对这个SYN报文段进行确认，发送ACK报文，将ack设置为1。同时，本身还要发送SYN请求信息，将seq为0。服务器端将上述全部信息一并发送给客户端，此时服务器进入SYN_RECV状态。
• 第三次握手: 客户端收到服务器的ACK和SYN报文后，进行确认，而后将ack设置为1，seq设置为1，向服务器发送ACK报文段，这个报文段发送完毕之后，客户端和服务器端都进入ESTABLISHED状态，完成TCP三次握手。

序列号seq由双方随机生成，默认是0；ack = 对方序列号 + 1；seq = 对方的ack 。

三次握手是为了确认客户端和服务器的收发功能都是正常的。第一次确认：客户端能发；第二次确认：服务器能收能发；第三次确认：客户端能收。

4. 数据传输

• 客户端先向服务器发送数据，该数据报是长度为159的数据。
• 服务器收到报文后, 也向客户端发送了一个数据进行确认（ACK），而且返回客户端要请求的数据，数据的长度为111，将seq设置为1，ack设置为160（1 + 159）。
• 客户端收到服务器返回的数据后进行确认（ACK），将seq设置为160， ack设置为112（1 + 111）。

ack = 对方的序列号 + 发送的数据长度 ； seq = 对方的ack 。

5. 四次挥手

    

• 第一次挥手：客户端向服务器发送一个FIN报文段，将设置seq为160和ack为112，;此时，客户端进入 FIN_WAIT_1状态,这表示客户端没有数据要发送服务器了，请求关闭链接;
• 第二次挥手：服务器收到了客户端发送的FIN报文段，向客户端回一个ACK报文段，ack设置为1，seq设置为112;服务器进入了CLOSE_WAIT状态，客户端收到服务器返回的ACK报文后，进入FIN_WAIT_2状态;
• 第三次挥手：服务器会观察本身是否还有数据没有发送给客户端，若是有，先把数据发送给客户端，再发送FIN报文；若是没有，那么服务器直接发送FIN报文给客户端。请求关闭链接，同时服务器进入LAST_ACK状态;
• 第四次挥手：客户端收到服务器发送的FIN报文段，向服务器发送ACK报文段，将seq设置为161，将ack设置为113，而后客户端进入TIME_WAIT状态;服务器收到客户端的ACK报文段之后，就关闭链接;此时，客户端等待2MSL后依然没有收到回复，则证实Server端已正常关闭，客户端也能够关闭链接了。

 注意：在握手和挥手时确认号应该是对方序列号加1,传输数据时则是对方序列号加上对方携带应用层数据的长度。   

6. 问题

1. 为何须要三次握手? 确保双方收发都是正常的
2. 为何须要四次挥手? 双方数据发送完毕，都认为能够断开
3. 为何须要等待? A向B发的FIN可能丢失
4. 为何握手是三次，但挥手倒是四次? 当Server端收到FIN报文时，极可能并不会当即关闭SOCKET

                                                                                                                                

wireshark抓包工具安装

wireshark下载地址https://www.wireshark.org/download.html

注意：本机访问本机的服务，wireshark是捕获不到的。

第一次用wireshark出现这个报错是由于wireshark没有装全，记得装wincap。

wireshark抓包开始

三次握手

172.18.254.177为客户 111.13.2.158为服务端

一、主动打开。发送SYN，协商window size 、TCP MSS seq=0 len=0 MSS=1460 win=65535最大窗口大小

客户端为syn_sent

服务端为syn_recv

二、接收到syn。回复syn ack seq=0 ack=1=0+1 确认本身的最大win=14480 MSS=1460

客户端为established

服务端为syn_recv

三、接到到syn 回复ack seq=1 ack=1=0+1 至此三次握手成功创建。

客户端为established

服务端为established

四次断开

一、主动关闭，发送fin。Seq=328

服务端状态为fin_wait1

客户端状态为closed_wait

二、客户端发送确认ack ack=329=328+1

服务端状态为fin_wait2

三、客户端发送fin seq=133

客户端状态为last_ack

服务端状态为time_wait

四、服务端发送ack ack=134=133+1

客户端状态closed

服务端状态closed

数据包ACK=segment len+seq = 下一个要接收的数据包的seq

图1

图2

图3

由图1 数据包状况能够看出 359 seq=1441 segment len=1440 因此下一个回包的ack=1441+1440=2881 从图2中能够确认ack确实为2881.

图2 数据包状况能够看出 360 seq=349 segment len=0 因此下一个回包的ack=349+0=349，从图3能够确认ack确实为349.

图1 359 的ack=349 则图2 350 的seq=349 ack=2881 推断图3 361的seq=2881 .

一条完整会话（session）指的是，相同的传输协议中两个不一样IP之间的两个不一样端口的互相通讯，若是IP或端口变化刚属于不一样的会话，其seq和ack也是相互独立的，没有任何关联。

win 65535：窗口大小是65535字节。窗口大小指的是对方在同一时间点内可以接收到的字节数，网络带宽越大窗口越大，能发送的数据就越大。网络带宽越小窗口越小，能发送的数据就越小。http协议是83字节。TCP segment len == http len。