Wireshark数据抓包分析之传输层协议(TCP协议)
实验步骤⼀
根据实验环境,本实验的步骤如下:
1.在测试环境使⽤发包⼯具和Wireshark抓取TCP三次握⼿和四次断开的数据包。
2.详细分析TCP协议的三次握⼿以及四次断开。
任务描述:安装发包⼯具,并配置TCP客户端,服务端,与Wireshark配合使⽤此⼯具与分析UDP协议时相同,实验室环境中已经安装,在此再重复⼀遍,我们使⽤" TCP&UDP测试⼯具"来制作和发送TCP数据包。双击测试者机器桌⾯的" TCP&UDP测试⼯具",会出现下图显⽰页⾯:
下⾯我们需要配置TCP的服务端以及客户端。
1.配置服务器端
选择10.1.1.33的机器,双击桌⾯的" TCP&UDP测试⼯具",右键点击服务器模式,在下拉列表中,选择创建服务器,如下图:
选择"创建服务器"之后,会弹出服务器端⼝设置,本次使⽤默认⼯具给的6000端⼝即可,点击"确定"按钮。
点击"确定"按钮之后,在左侧的服务器模式列表中,会出现创建的列表,选择我们创建的服务器,右键点击,选择"启动服务器",即完成了服务器端的配置
2.配置客户端
选择10.1.1.142的机器,双击桌⾯的" TCP&UDP测试⼯具",右键点击客户端模式,在下拉列表中,选择"创建连接",如下图:
在弹出的窗⼝中,选择TCP协议,服务器IP为10.1.1.33.端⼝6000,本机随意IP,如下图
点击创建后,如下图,
3.获取TCP数据包
获取的TCP协议的数据包。分为两部分,即TCP三次握⼿,四次断开的数据。但在实际的操作中,可能遇到的情况较多,⽐如源IP和⽬的IP⽐较多,协议的帧号乱序等各种问题。在此,我们教⼤家简单的过滤功能,着⾊功能⽅便过滤和查看。启动Wireshark,在Filter中输⼊tcp,点击Apply会看到很多的数据包,这是因为测试环境中,有很多的应⽤程序,与其服务器连接,使⽤TCP协议。如下图,
我们可以看到,有很多的数据,不⽅便查看。在这⾥,我们已知两台机器的IP情况下,可以在filter中输⼊"ip.addr == 10.1.1.142 and ip.addr == 10.1.1.33"来过滤出我们想要的数据,点击⼯具中的"连接"按钮。如下图
在发送区域输⼊"hetinlabtcp"点击发送,会持续的更新TCP数据。
在点击"断开连接"后,会出现TCP的四次断开。全部的过程截图,如下:
如上图,如果还是觉得不⽅便分析协议的话,Wireshark还为我们提供了着⾊和指定的帧信息保存功能。左键点击某⼀帧,右键选择"Colorize Conversation",横向选择"TCP",横向再选择⾃⼰喜欢的颜⾊,操作如下图
结果如下
从上⾯可以很容易的看出,70,73,74帧是tcp的三次握⼿,5933,5934,5935,5936帧是四次断开的数据。如果你还想把三次握⼿和四次断开的数据包分别保存,Wireshark也提供了这样的功能,并且⽀持帧序号乱序的情况。下⾯,我们先来保存三次握⼿的数据包,因三次握⼿的帧是乱序,我们先右键点击70帧,选择"Mark Packet(toggle)',在依次选择73帧,74帧,如下图