文章目录
前言
Wireshark是一款功能强大的网络抓包和协议分析工具,用于实时捕获和解析网络通信数据,帮助用户诊断网络问题、分析协议细节或进行安全审计。
本篇将用Wireshark工具对TCP通信案例进行抓包,分析三报文握手和四报文挥手。
一、前置准备
服务端案例工程:
public class BIOServer {
public static void main(String[] args) throws IOException {
ServerSocket serverSocket = new ServerSocket(1848);
System.out.println("EchoServer started on port 1848");
//阻塞
Socket clientSocket = serverSocket.accept();
handleClient(clientSocket);
}
private static void handleClient(Socket clientSocket) {
try(OutputStream out = clientSocket.getOutputStream();
InputStream in = clientSocket.getInputStream()){
byte[] bytes = new byte[1024];
int len;
while ((len = in.read(bytes))!= -1){
out.write(bytes, 0, len);
out.flush(); // 回显
}
}catch (Exception e){
System.out.println("Client disconnected");
}
}
}
客户端案例工程:
public class BIOClient {
public static void main(String[] args) throws IOException {
Socket socket = new Socket("localhost", 1848);
OutputStream out = socket.getOutputStream();
InputStream in = socket.getInputStream();
out.write(("Hello Server:" + Thread.currentThread().getName()).getBytes());
out.flush();
byte[] buffer = new byte[1024];
int len = in.read(buffer);
System.out.println("Server Echo: " + new String(buffer, 0, len));
socket.close();
}
}
Wireshark工具设置,选择Adapter for loopback traffic capture
设置抓包过滤选项,为案例中的端口号1848:
二、三报文握手过程抓包
案例工程中,三报文握手在java层面体现在客户端的这一行代码上,创建 Socket 时,会自动连接服务端并完成三次握手;
Socket socket = new Socket("localhost", 1848);
服务端阻塞在 accept(),等待连接;一旦返回,说明三次握手完成;
Socket clientSocket = serverSocket.accept();
先启动服务端,再启动客户端:
进入断点,准备建立连接
释放客户端的断点,进入服务端的处理消息的逻辑:
此时三报文握手的过程已经结束了,观察Wireshark
2.1、第一次握手
第一次握手的报文10358 371.405938 127.0.0.1 127.0.0.1 TCP 56 49931 → 1848 [SYN] Seq=0 Win=65535 Len=0 MSS=65495 WS=256 SACK_PERM 解释:
| 字段 | 含义 |
|---|---|
10358 |
报文编号,在这次抓包中的编号 |
371.405938 |
抓包开始后的时间戳(秒) |
127.0.0.1 → 127.0.0.1 |
源 IP 和目的 IP(都是 localhost) |
TCP |
协议类型 |
56 |
报文字节数(含 TCP 首部) |
49931 → 1848 |
源端口(49931,客户端临时端口)到目标端口(1848,服务端监听端口) |
[SYN] |
报文类型标志(发起连接请求) |
Seq=0 |
初始序列号,客户端初始发送序号 |
Win=65535 |
窗口大小(接收缓冲区大小) |
Len=0 |
数据长度(SYN 报文本身不带数据) |
MSS=65495 |
最大报文段长度(Maximum Segment Size)是对方发送给我的最大 TCP 有效载荷,协商用 |
WS=256 |
窗口扩大因子(Window Scale),用于扩大窗口大小(65535×256) |
SACK_PERM |
表示支持选择确认(Selective Acknowledgement),提高网络性能 |
2.2、第二次握手
第二次握手的报文10359 371.405972 127.0.0.1 127.0.0.1 TCP 56 1848 → 49931 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=65495 WS=256 SACK_PERM的解释:
| 字段 | 含义 |
|---|---|
10359 |
报文编号 |
371.405972 |
时间戳 |
1848 → 49931 |
服务端端口(1848)回应客户端临时端口(49931) |
[SYN, ACK] |
服务端回应连接请求,并确认客户端的 SYN 报文 |
Seq=0 |
服务端自己的初始序列号为 0 |
Ack=1 |
确认号 = 客户端 Seq(0)+ 1,表示收到了客户端的 SYN,对于第一次握手中的seq的确认 |
Win=65535 |
服务端窗口大小 |
Len=0 |
无负载数据,仅握手信息 |
MSS=65495 |
服务端协商的最大段大小 |
WS=256 |
服务端窗口扩展因子 |
SACK_PERM |
服务端也支持 SACK |
2.3、第三次握手
第三次握手的报文10360 371.405991 127.0.0.1 127.0.0.1 TCP 44 49931 → 1848 [ACK] Seq=1 Ack=1 Win=327424 Len=0的含义:
| 字段 | 含义 |
|---|---|
49931 → 1848 |
客户端端口 → 服务端端口 |
[ACK] |
确认包,确认服务端的 [SYN, ACK] |
Seq=1 |
客户端的下一个发送序列号(上次 SYN 是 Seq=0,这次是 1) |
Ack=1 |
确认号:表示已收到服务端 Seq=0 的 [SYN] 报文(对于服务端seq的确认) |
Win=327424 |
窗口大小(注意,这里乘了窗口缩放因子) |
Len=0 |
仅为控制报文,无负载数据 |
针对原理图,理论联系实际,从上面的握手报文可以看出,除了最关键的SYN,ACK,seq,ack以外,;还体现出了对于TCP参数的协商,例如最大段大小,窗口大小,数据长度等。
三、通信过程抓包
在案例工程中,通信过程体现在客户端发送:
out.write(("Hello Server:" + Thread.currentThread().getName()).getBytes());
服务端接收并回显:
while ((len = in.read(bytes))!= -1){
out.write(bytes, 0, len); // echo 回显
out.flush();
}
| 报文号 | 时间戳 | 源 → 目标 | 标志位 | Seq/Ack | Len | 说明 |
|---|---|---|---|---|---|---|
| 44379 | 1279.762655 | 49931 → 1848 | [PSH, ACK] | Seq=1 Ack=1 | 17 | 客户端发送“Hello Server…” |
| 44380 | 1279.762682 | 1848 → 49931 | [ACK] | Seq=1 Ack=18 | 0 | 服务端确认收到了数据 |
| 44469 | 1283.136551 | 1848 → 49931 | [PSH, ACK] | Seq=1 Ack=18 | 17 | 服务端回显“Hello Server…” |
| 44470 | 1283.136566 | 49931 → 1848 | [ACK] | Seq=18 Ack=18 | 0 | 客户端确认收到了回显 |
3.1、报文 44379 – 客户端发数据(PSH, ACK)
49931 → 1848 [PSH, ACK] Seq=1 Ack=1 Len=17:
- 客户端发送数据(17 字节),“Hello Server:main”;
- PSH(Push)表示告诉 TCP 层立即发送,无需等待缓冲区满;
- Seq=1 是三次握手后起始序列号,这里是重点,因为客户端的第三次握手,报文段没有携带数据,不占用seq,所以这次的seq还是从1开始。
- Ack=1 表示仍然确认了服务端的 SYN。
3.2、 报文 44380 – 服务端确认收到数据(ACK)
1848 → 49931 [ACK] Seq=1 Ack=18 Len=0
- 服务端发送确认 ACK,表示已收到客户端发送的 17 字节(1+17=18);
- 这是纯 ACK,不带数据。
3.3、报文 44469 – 服务端回显(PSH, ACK)
1848 → 49931 [PSH, ACK] Seq=1 Ack=18 Len=17
- 服务端将收到的数据原样回显;
- PSH 表示回显数据立即发送;
- Seq=1 是服务端自己的起始序列号;
- Ack=18 表示还在确认客户端数据;
3.4、报文 44470 – 客户端确认收到回显(ACK)
49931 → 1848 [ACK] Seq=18 Ack=18 Len=0
- 客户端收到回显后发出确认 ACK;
- Seq=18 表示客户端准备下次发送的序号(之前发了 17 字节);
- Ack=18 表示收到了服务端的 17 字节(1+17=18)。
四、四报文握手过程抓包
案例工程中,四报文挥手在java层面体现在客户端的这一行代码上,通信完成关闭连接时,会通知服务端断开连接,进行四报文挥手的流程;
socket.close();
执行断点:
三报文握手和四报文挥手,都是客户端发起的
| 报文号 | 时间戳 | 方向 | 标志位 | Len | 说明 |
|---|---|---|---|---|---|
| 46892 | 1380.873591 | 49931 → 1848 | [FIN, ACK] |
0 | 客户端主动断开连接 |
| 46893 | 1380.873609 | 1848 → 49931 | [ACK] |
0 | 服务端确认客户端 FIN |
| 46902 | 1380.874091 | 1848 → 49931 | [FIN, ACK] |
0 | 服务端也准备断开连接 |
| 46903 | 1380.874114 | 49931 → 1848 | [ACK] |
0 | 客户端确认服务端 FIN,连接彻底关闭 |
4.1、第一次挥手
第一次挥手报文段46892 1380.873591 127.0.0.1 127.0.0.1 TCP 44 49931 → 1848 [FIN, ACK] Seq=18 Ack=18 Win=327424 Len=0的解释:
| 字段 | 含义 |
|---|---|
46892 |
报文编号 |
1380.873591 |
抓包开始以来的时间戳(秒) |
127.0.0.1 → 127.0.0.1 |
客户端 → 服务端 |
TCP |
协议类型 |
44 |
报文长度(含 TCP 头部) |
49931 → 1848 |
客户端临时端口 → 服务端端口 |
[FIN, ACK] |
标志位:客户端请求关闭连接,同时确认服务端数据 |
Seq=18 |
序列号,表示上一次客户端发送的数据是以 Seq=17 结尾的(如 “Hello Server” 17 字节),FIN 占用 1 |
Ack=18 |
确认号:客户端已收到服务端 Seq=0~17 的数据 |
Win=327424 |
客户端窗口大小 |
Len=0 |
无数据,仅控制报文 |
4.2、第二次挥手
第二次挥手报文段46893 1380.873609 127.0.0.1 127.0.0.1 TCP 44 1848 → 49931 [ACK] Seq=18 Ack=19 Win=2161152 Len=0的解释:
| 字段 | 含义 |
|---|---|
46893 |
报文编号 |
1380.873609 |
时间戳 |
1848 → 49931 |
服务端端口 → 客户端端口 |
[ACK] |
服务端确认客户端关闭请求 |
Seq=18 |
服务端数据已经发到 Seq=17,FIN 尚未发送 |
Ack=19 |
确认号:确认客户端 FIN,占用一个序号(Seq=18 → Ack=19) |
Win=2161152 |
服务端窗口大小 |
Len=0 |
仅 ACK,没有数据 |
4.3、第三次挥手
第三次挥手报文段46902 1380.874091 127.0.0.1 127.0.0.1 TCP 44 1848 → 49931 [FIN, ACK] Seq=18 Ack=19 Win=2161152 Len=0的解释:
| 字段 | 含义 |
|---|---|
46902 |
报文编号 |
1380.874091 |
时间戳 |
1848 → 49931 |
服务端 → 客户端 |
[FIN, ACK] |
服务端请求关闭,同时 ACK |
Seq=18 |
服务端发出 FIN,占用序号 18(和第二次挥手一致,因为过程中没有发送其他数据) |
Ack=19 |
继续确认客户端的 FIN |
Win=2161152 |
服务端窗口大小 |
Len=0 |
无数据,仅控制位 |
4.4、第四次挥手
第四次挥手报文段46903 1380.874114 127.0.0.1 127.0.0.1 TCP 44 49931 → 1848 [ACK] Seq=19 Ack=19 Win=327424 Len=0的解释:
| 字段 | 含义 |
|---|---|
46903 |
报文编号 |
1380.874114 |
时间戳 |
49931 → 1848 |
客户端 → 服务端 |
[ACK] |
客户端确认服务端的关闭 |
Seq=19 |
客户端上一次是 Seq=18,FIN 占 1,+1 到 19 |
Ack=19 |
表示已经收到服务端的 FIN(Seq=18) |
Win=327424 |
客户端窗口大小 |
Len=0 |
无数据 |
