转载之前:基于HTTP的视频流中,客户端有时会打开使用多条TCP与服务器连接,为了验证每一对话的sessionID是否相同,使用wireshark进行了抓包分析(抓到的都是加密的包,无卵用orz....),这里就需要学会从wireshark中看出握手是否成功,这就是我转载的原因啦!
开始!:
启动
点击start出现下面的对话框
wireshark是捕获机器上的 某一块网卡的网络包,当机器上有多块网卡的时候,需要选择一个网卡进行捕获操作。
选择网卡
>主页面上,直接点击选中后start
>capture->interfaces,选择后start
窗口介绍
1. Display Filter(显示过滤器), 用于过滤已经捕获到的数据
PS:过滤器分为显示过滤器和捕获过滤器。捕获过滤器用来过滤捕获的封包,以免捕获到过多的数据。
捕获过滤器的设置方式,capture->capture filters
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表不同的协议。
3. Packet Details Pane(封包详细信息), 显示封包中的字段
各行信息说明如下:
物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息
Hypertext Transfer Protocol: 应用层的信息
4. Dissector Pane(16进制数据)
16进制数据查看面板,也叫做解析器。这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。
5. Miscellanous(地址栏)
三次握手抓包过程分析
首先来一张三次握手经典图解
下面使用wireshark实际分析三次握手过程
1.打开wireshark,打开浏览器输入网址blog.csdn.net/hello_yz并访问;
2.停止捕获 ,红方块。不停止的话后面一直抓一直抓......;
3.在封包列表中可以找到下图数据:
在图中可以看到,访问blog.csdn.net/hello_yz网站过程中,wireshark截获到了三次握手的三个数据包,第四个包才是http的。这也说明http确实是使用TCP建立连接的。
下面进行三个数据包的详细分析。
首先对 封包详细信息分析说明
选中一条TCP协议数据包,它的封包详细信息如下图:
第一次握手数据包,可以看到客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。如下图:
第二次握手数据包,可以看到服务器发回确认包, 标志位为 SYN,ACK. 将确认序号ACK设置为1.如下图:
第三次握手数据包,可以看到客户端再次发送确认包(ACK) ,标志位为ACK,将sequence+1.如下图:
经过上述三次握手过程,即建立了HTTP连接。
当三次握手无法顺利进行时,也就不能建立连接。
为了避免抓到过多冗余数据,可以进行捕获过滤器设置
在host文件中添加如下数据便于测试
102.54.94.97 www.oa.com
捕获过滤器设置如下图:
capture->capture filter->new
Filter name自己随意取,host www.oa.com表示只捕获主机名为www.oa.com的数据包
然后,capture->option,选好之后start
抓到的数据包如下所示,可以看到在客户端发出第一次握手的请求后,没有得到服务器的应答,握手失败,无法建立连接。
启动
点击start出现下面的对话框
wireshark是捕获机器上的 某一块网卡的网络包,当机器上有多块网卡的时候,需要选择一个网卡进行捕获操作。
选择网卡
>主页面上,直接点击选中后start
>capture->interfaces,选择后start
窗口介绍
1. Display Filter(显示过滤器), 用于过滤已经捕获到的数据
PS:过滤器分为显示过滤器和捕获过滤器。捕获过滤器用来过滤捕获的封包,以免捕获到过多的数据。
捕获过滤器的设置方式,capture->capture filters
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表不同的协议。
3. Packet Details Pane(封包详细信息), 显示封包中的字段
各行信息说明如下:
物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息
Hypertext Transfer Protocol: 应用层的信息
4. Dissector Pane(16进制数据)
16进制数据查看面板,也叫做解析器。这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。
5. Miscellanous(地址栏)
三次握手抓包过程分析
首先来一张三次握手经典图解
下面使用wireshark实际分析三次握手过程
1.打开wireshark,打开浏览器输入网址blog.csdn.net/hello_yz并访问;
2.停止捕获 ,红方块。不停止的话后面一直抓一直抓......;
3.在封包列表中可以找到下图数据:
在图中可以看到,访问blog.csdn.net/hello_yz网站过程中,wireshark截获到了三次握手的三个数据包,第四个包才是http的。这也说明http确实是使用TCP建立连接的。
下面进行三个数据包的详细分析。
首先对 封包详细信息分析说明
选中一条TCP协议数据包,它的封包详细信息如下图:
第一次握手数据包,可以看到客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。如下图:
第二次握手数据包,可以看到服务器发回确认包, 标志位为 SYN,ACK. 将确认序号ACK设置为1.如下图:
第三次握手数据包,可以看到客户端再次发送确认包(ACK) ,标志位为ACK,将sequence+1.如下图:
经过上述三次握手过程,即建立了HTTP连接。
当三次握手无法顺利进行时,也就不能建立连接。
为了避免抓到过多冗余数据,可以进行捕获过滤器设置
在host文件中添加如下数据便于测试
102.54.94.97 www.oa.com
捕获过滤器设置如下图:
capture->capture filter->new
Filter name自己随意取,host www.oa.com表示只捕获主机名为www.oa.com的数据包
然后,capture->option,选好之后start
抓到的数据包如下所示,可以看到在客户端发出第一次握手的请求后,没有得到服务器的应答,握手失败,无法建立连接。
