抓包神器 Wireshark,帮你快速定位线上网络故障(3)

回顾:TCP 三次握手&四次挥手

正式分享之前,先简单回顾一下 TCP 的三次握手、四次挥手。

TCP 通过三次握手建立连接(一图解千愁)

TCP 协议通过四次挥手断开连接(一图知所有)

Wireshark:窥探 HTTP 的协议包

HTTP 的工作方式其实很简单,首先由客户端向服务端发起一个请求,然后再由服务端回复一个响应。依据不同的场景,客户端发送的请求会用到不同方法,有 GET、POST、PUT 和 HEAD 等。

接下来将结合 Wireshark 抓到的包,来窥探一下 HTTP 是如何工作的。

如上图所示,抓取了从 10.1.1.101 访问 http://10.1.1.1:80/ 时的协议包。

由于 HTTP 协议基于 TCP 实现,一次完整的 HTTP 请求响应主要分三次握手、数据传输(请求&响应)、四次挥手三个阶段,我们一层一层拨开了去看。

阶段一:三次握手(建立连接)

由于 HTTP 协议基于 TCP,所以上来要进行三次握手,并且能够看出客户端地址为 10.1.1.101,端口为 3177,服务端地址为 10.1.1.1,端口为 80,通过三次握手建立连接后,便可以向服务端发送请求传输内容了。

阶段二:请求&响应(数据传输)

上面截图中的 4 号包是客户端向服务端发送“GET / HTTP/1.1”请求,即通过 1.1 版的 HTTP 协议发送请求,协议包内容如下。

通过上面抓包,能够清晰看出请求方式为 GET,以及客户端的一些环境信息,请求相关的信息,清晰可见。这里多关注一下 Response in frame:6,告诉请求对应的响应包是 6 号包,接下来打开 6 号包看一下响应内容。

6 号包是服务端对客户端请求的响应,即把响应页面内容发给客户端,通过上图能够看出响应的是一个 HTML 页面,内容清晰可见。

阶段三:四次挥手(断开连接)

如上图示意,可以看到四次断开的挥手包,编号分别为 7、8、9 和11。从 Info 列可以看到这四个包的标志位分别为 FIN,ACK、ACK、FIN,ACK 和 ACK。下面依次分析 TCP 的四次断开连接数据包。

第一次挥手:

源端口 80 向目标端口 3177,发送 FIN 数据报,序列号为 436,确认序列号为 477。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中,ACK 和 FIN 标志位值为 1,其它标志位都为 0。

第二次挥手:

如上图所示,从 TCP 协议层可以看到,源端口为 3177,目标端口为 80,序列号为 477,确认号为 437。从 Flags 分支中可以看到,当前报文的标志位为 ACK。其中 ACK 标志位值为 1,其他标志位都为 0。

第三次挥手:

如上图所示,从 IP 协议层可以看到,源地址为 10.1.1.101,目标 IP 地址为 10.1.1.1。从 TCP 协议层可以看到,源端口为 3177,目标端口为 80,序列号为 477,确认号为 437。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中 ACK 和 FIN 标志位值为 1,其它标志位都为 0。

第四次挥手:

如上图所示,可以看到源端口为 80,目标端口为 3177,序列号为437,确认号为 478。从 Flags 分支中可以看到该报文的标志位为ACK。其中 ACK 标志位值为 1,其它标志位都为 0。

到这,虽然只分析了一个简单 HTTP 请求,但是结合 Wirkeshark 细细去想,整个通信过程确实还挺复杂,不过整个过程确实是一览无遗,那么试想一下平时的聊天记录,是否会被(BOSS)发现?很不幸,答案是肯定的。

Wireshark:HTTP 响应分析

借助 Wireshark 的“显示分组字节”功能,很容易就能看到 HTTP 的响应内容。

例如1:从服务端下载文件

上面截图是通过 Wireshark 分析下载图片的数据包,借助 Wireshark 的“显示分组字节”功能,便可轻松看到图片内容。

例如2:服务端响应 HTML

借助 Wireshark 的“显示分组字节”功能,很轻松看到服务端响应给客户端的 HTML 内容。

感兴趣的老铁,纸上得来终觉浅,希望能亲自通过 Wireshark 好好去体验体验。

写在最后

本次 Wireshark 分享就写到这里,为了能够让分享不出现纰漏,查阅了很多文档、书籍以及官方资料,归纳汇总一下给老铁,希望对老铁能有所帮助。

资料分享:

经典例子:https://gitlab.com/wireshark/wireshark/-/wikis/SampleCaptures官方文档:https://www.wireshark.org/docs/wsug_html_chunked/

文章分享的数据包可以从这里 get 到:

https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/http_with_jpegs.cap.gz https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/200722_tcp_anon.pcapng

参考书籍:

《从实践中学习Wireshark数据分析》

《Wireshark网络分析就是这么简单》

一起聊技术、谈业务、架构,少走弯路,不踩大坑。会持续输出精彩分享,敬请期待!

(0)

相关推荐