一、数据抓包分析之TCP协议01

根据实验环境，本实验的步骤如下：

1.在测试环境使用发包工具和Wireshark抓取TCP三次握手和四次断开的数据包。

2.详细分析TCP协议的三次握手以及四次断开。

任务描述：安装发包工具，并配置TCP客户端，服务端，与Wireshark配合使用 此工具与分析UDP协议时相同，实验室环境中已经安装，在此再重复一遍，我们使用" TCP&UDP测试工具"来制作和发送TCP数据包。双击测试者机器桌面的" TCP&UDP测试工具",会出现下图显示页面：

下面我们需要配置TCP的服务端以及客户端。

1.配置服务器端

选择10.1.1.33的机器，双击桌面的" TCP&UDP测试工具",右键点击服务器模式，在下拉列表中，选择创建服务器，如下图：

选择"创建服务器"之后，会弹出服务器端口设置，本次使用默认工具给的6000端口即可，点击"确定"按钮。

点击"确定"按钮之后，在左侧的服务器模式列表中，会出现创建的列表，选择我们创建的服务器，右键点击，选择"启动服务器"，即完成了服务器端的配置

2.配置客户端

选择10.1.1.142的机器，双击桌面的" TCP&UDP测试工具",右键点击客户端模式，在下拉列表中，选择"创建连接"，如下图：

在弹出的窗口中，选择TCP协议，服务器IP为10.1.1.33.端口6000，本机随意IP，如下图

点击创建后，如下图，

3.获取TCP数据包

获取的TCP协议的数据包。分为两部分，即TCP三次握手，四次断开的数据。但在实际的操作中，可能遇到的情况较多，比如源IP和目的IP比较多，协议的帧号乱序等各种问题。在此，我们教大家简单的过滤功能，着色功能方便过滤和查看。 启动Wireshark，在Filter中输入tcp，点击Apply会看到很多的数据包，这是因为测试环境中，有很多的应用程序，与其服务器连接，使用TCP协议。如下图，

我们可以看到，有很多的数据，不方便查看。在这里，我们已知两台机器的IP情况下，可以在filter中输入"ip.addr == 10.1.1.142 and ip.addr == 10.1.1.33"来过滤出我们想要的数据，点击工具中的"连接"按钮。如下图

在发送区域输入"hetinlabtcp"点击发送，会持续的更新TCP数据。

在点击"断开连接"后，会出现TCP的四次断开。全部的过程截图，如下：

如上图，如果还是觉得不方便分析协议的话，Wireshark还为我们提供了着色和指定的帧信息保存功能。左键点击某一帧，右键选择"Colorize Conversation",横向选择"TCP",横向再选择自己喜欢的颜色，操作如下图

结果如下

从上面可以很容易的看出，70，73,74帧是tcp的三次握手，428,429，430，431帧是四次断开的数据。如果你还想把三次握手和四次断开的数据包分别保存，Wireshark也提供了这样的功能，并且支持帧序号乱序的情况。下面，我们先来保存三次握手的数据包，因三次握手的帧是乱序，我们先右键点击70帧，选择"Mark Packet（toggle）’，在依次选择73帧，74帧，如下图

在Wireshark的菜单栏中，依次选择FIle->Export Specified Packets 命令，打开如下所示页面

选择Marked packets,并选择保存名字和路径，即可。下面来保存四次断开的数据，因428-431为连续的序号，所以在Wireshark的菜单栏中，依次选择FIle->Export Specified Packets 命令，打开如下所示页面

选择Range,输入序号的起始和结束数字，选择保存名字和路径即可。