这期内容当中小编将会给大家带来有关如何解析wireshark抓包,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。关于wireshark抓包的那点事儿三次握手172.18.254.177为客户111.13.2.158为服务端1、主动打开。发送SYN,协商windowsize、TCPMSSseq=0len=0MSS=1460win=65535最大窗口大小客户端为syn_sent服务端为syn_recv2、接收到syn。回复synackseq=0ack=1=0+1确认自己的最大win=14480MSS=1460客户端为established服务端为syn_recv3、接到到syn回复ackseq=1ack=1=0+1至此三次握手成功建立。客户端为established服务端为established四次断开1、主动关闭,发送fin。Seq=328服务端状态为fin_wait1客户端状态为closed_wait2、客户端发送确认ackack=329=328+1服务端状态为fin_wait23、客户端发送finseq=133客户端状态为last_ack服务端状态为time_wait4、服务端发送ackack=134=133+1客户端状态closed服务端状态closed数据包ACK=segment len+seq = 下一个要接收的数据包的seq图1图2
图3由图1 数据包情况可以看出 359 seq=1441 segment len=1440 所以下一个回包的ack=1441+1440=2881 从图2中可以确认ack确实为2881.图2 数据包情况可以看出 360 seq=349 segment len=0 所以下一个回包的ack=349+0=349,从图3可以确认ack确实为349.图1 359 的ack=349 则图2 350 的seq=349 ack=2881 推断图3 361的seq=2881 .
一条完整会话(session)指的是,相同的传输协议中两个不同IP之间的两个不同端口的互相通信,如果IP或端口变化刚属于不同的会话,其seq和ack也是相互独立的,没有任何关联。TCPsegmentofareassembledPDU(TCP数据包重组的一部分)分段的数据包的ACKnum相同,当请求的数据包大于TCPMSS时会将数据分为多个数据包进行传输。局域网内的TCPMSS大小为1460=1500-20(IP包头)-20(TCP包头)server=124.192.132.36 client=192.168.10.111(378、381、384、387) seq=349不变,ack一直增加。说明client端一直在接收server端的数据,且一直在给client应答。server=124.192.132.36 client=192.168.10.111(376、377、379) ack=349没有变化。seq不断增加,说明server端一直在向client发送数据包,不用给client应答,而是等待client端的应答。由以上可以看出client不用对server端的每一个包都做一一应答,可以接收几个包后统一做应答。
TCPwindowupdate(TCP窗口更新)TCP z免费云主机域名ero windowTCP window full是TCP通信中的一个状态,它可以发生的原因有很多,但最终归结于发送者传输数据的速度比接收者读取的数据还快,这使得接受端的在缓冲区必须释放一部分空间来装发送过来的数据,然后向发送者发送WindowsUpdate,告诉给发送者应该以多大的速度发送数据,从而使得数据传输与接受恢复正常。或者一个TCPWindow变为0了,或者接近0了,这就会警告数据发送方没有更多空间来接受更多数据了.文件传输会停止,直到收到一个update说buffer已经清空了.Tcp window full :服务端向客户端发送的一种窗口警告。Tcp zero window:客户端向服务端发送的一种窗口警告。Tcp keep-alive: 会话保持,一般由服务端发出。以下是针对上图的数据包进行分析客户端:192.168.10.111 服务端:42.250.12.36131:服务端向客户端发出tcp window full,表示无法再接受新的数据,132:客户端向服务端发送tcp zero window ,表示没有window可以接收新数据137:服务端向客户端发送keep-live,保持会话,直至客户端有足够的window可以再次接收数据。138:客户端再次向服务端发送 tcp zere window ,提示服务端目前没有足够的window可以接收新数据。139:客户端向服务端发送 tcp window update,表示buffer已经清空。并提示服务端现在已经有足够的window 大小为 17280。140:由于收到了客户端发送的window buffer已经清空,所以继续发送数据。
TCPDUPACK(重复的ACK)表示数据段已丢失,574是数据丢失的位置,#1代表丢失一次。一般情况下,当网络延时增大导致网络速度变慢,是产生重复ACK的一个主要原因。或者是服务端或者客户端响应速度变慢或者没没有响应。TCPout-of-order由于收到的数据包乱序,有可能是网络拥塞或者路由上存在负载分担的情况,导致后发送的数据包先达到。TCPRestransmission重传170号数据包是为167号数据包做的重传操作,所以seqack都是一样的,seq=2070ack=6264TCP previous segment not captured 之前的分段未收到
说明乱序了,未收到之前的数据包,也要进行重传,1932的ack=83066,也就是要求server端下次发送seq=83066的包,结果 1933发送的数据包seq=85946.说明server端收到过client端发送的数据包ack=85946,则判断之前的一个数据包未收到。在1934 对1932数据包进行重传操作。上述就是小编为大家分享的如何解析wireshark抓包了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注云编程开发博客行业资讯频道。
这篇文章主要介绍了NERVE是什么,具有一定借鉴价值,感兴趣的朋友免费云主机域名可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。我们认为,安全扫描应当是一件需要持续去做的事情,这种持续性并不是指每天、每周、每个月或每个季度,我们…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
