Wireshark 分析TCP 报文段
Wireshark 分析TCP 报文段
使用wireshark这款软件来分析TCP包,TCP报文为了方便读者复现,直接使用官网提供的包文件说明
准备TCP分析报文
从wireshark官网下载TCP分析包:200722_win_scale_examples_anon.pcapng,使用wireshark打开200722_win_scale_examples_anon.pcapng,这里我们选择第4个TCP报文,数据长度len=6,这里主要是为了对应TCP 报文段的首部字段,任意选择也行
分析TCP报文
点击/双击第4个TCP报文,可以看到运输层的协议使用TCP协议,TCP数据大小为20字节,从Header Length可以看出为20字节(5*4)
对应的16进制序列为:1a 37 07 d0 dd 6a bb 2b 1f 5f d2 51 50 18 04 02 12 0f 00 00
1. 分析TCP的首部格式
贴一个TCP 的首部格式,方便对应
对应的16进制序列为:1a 37 07 d0 dd 6a bb 2b 1f 5f d2 51 50 18 04 02 12 0f 00 00
| 字段 | 16进制 | 10进制 | 位数 |
|---|---|---|---|
| 源端口 | 1a 37 | 6711 | 16位 |
| 目的端口 | 07 d0 | 2000 | 16位 |
| 序号字段 | dd 6a bb 2b | 3714759467 | 32位 |
| 确认号字段 | 1f 5f d2 51 | 526373457 | 32位 |
| 数据偏移 | 5 | 5 | 4位 |
| 保留字段 | 018(前6位) | 0 | 6位 |
| 紧急 URG | 018(第7位) | 0 | 1位 |
| 确认 ACK | 018(第8位) | 1 | 1位 |
| 推送 PSH (PuSH) | 018(第9位) | 1 | 1位 |
| 复位 RST (ReSeT) | 018(第10位) | 0 | 1位 |
| 同步 SYN | 018(第11位) | 0 | 1位 |
| 终止 FIN (FINish) | 018(第12位) | 0 | 1位 |
| 窗口字段 | 04 02 | 1026 | 16位 |
| 检验和 | 12 0f | 4623 | 16位 |
| 紧急指针字段 | 00 00 | 0 | 16位 |
2. 分析TCP的首部格式-可选字段部分
可选字段一般是建立连接时,协商报文过程,所有这里选择SYN=1建立连接的报文
点击打开查看
分析报文
- 最大报文段长度 MSS
1460字节 - 窗口扩大选项
8位,也就是2的16次方再乘2的8次方,即24位,窗口最大值为2的24次方,16MB - 选择确认选项
支持SACK,部分确认。这个后续再分析,即选择性重传