TCP报文分析TCP协议是面向连接的协议。TCP连接的建立有“三次握手”,而关闭一条TCP连接需要“四次握手”。1.1TCP连接的建立以访问hao360cn说明一次完整的TCP建立的三次握手过程。1.2.1第一次握手要建立TCP连接,首先需要客户机向服务器发起建立连接的请求,及第一次握手的报文。在此报文中,SYN字段置为1。由于之前连接不存在,所以没有对之前接受的确认,故ACK字段被置为0。同时由于连接还没有建立,不能发送数据,从而序列号也应该为0。采用wireshark的过滤功能,用tcp.flags.syn=1显示TCP中SYN字段为1的数据包,由SYN字段的定义知道这是建立TCP连接的报文。从中找到ack=0的包即表示第一次TCP握手(此处以14号数据包为TCP建立的第一次握手为例)。莖141.O22224COD10.104.159.203112.65.210.107TCP6649162-EDSYNEeq=OWi0=3193Len=0MS=14fiOW=4ACK_PERM=1Ii-rane:口ore已口i匸弓docycesc
