wireshark解析TCP
字段含义
SYN表示建立连接,建链包。
FIN表示关闭连接,断链包。
ACK表示响应,相应包。
PSH表示有 DATA数据传输,数据包。
RST表示连接重置,重置包。
TCP三次握手:
第一次握手:主机A发送位码为syn=1,随机产生seq number=1234567的数据包到服务器,主机B由SYN=1知道,A要求建立联机;
第二次握手:主机B收到请求后要确认联机信息,向A发送ack number=(主机A的seq+1),syn=1,ack=1,随机产生seq=7654321的包;
第三次握手:主机A收到后检查ack number是否正确,即第一次发送的seq number+1,以及位码ack是否为1,若正确,主机A会再发送ack number=(主机B的seq+1),ack=1,主机B收到后确认seq值与ack=1则连接建立成功。
wireshark 通过 tcp.seq相对序号过滤前三次握手
(tcp.flags.syn == 1) or (tcp.seq == 1 && tcp.ack == 1 && tcp.len == 0 && tcp.analysis.initial_rtt)wireshark解析TCP的几种状态 (SYN, FIN, ACK, PSH, RST, URG)_绛洞花主敏明的博客-CSDN博客_wireshark中ack
Advanced display filtering | Packet-Foo | Network Packet Capture and Analysis