抓包神器 Wireshark,帮你快速定位线上网络故障(3)
回顾:TCP 三次握手&四次挥手
正式分享之前,先简单回顾一下 TCP 的三次握手、四次挥手。
TCP 通过三次握手建立连接(一图解千愁)
TCP 协议通过四次挥手断开连接(一图知所有)
Wireshark:窥探 HTTP 的协议包
HTTP 的工作方式其实很简单,首先由客户端向服务端发起一个请求,然后再由服务端回复一个响应。依据不同的场景,客户端发送的请求会用到不同方法,有 GET、POST、PUT 和 HEAD 等。
接下来将结合 Wireshark 抓到的包,来窥探一下 HTTP 是如何工作的。
如上图所示,抓取了从 10.1.1.101 访问 http://10.1.1.1:80/ 时的协议包。
由于 HTTP 协议基于 TCP 实现,一次完整的 HTTP 请求响应主要分三次握手、数据传输(请求&响应)、四次挥手三个阶段,我们一层一层拨开了去看。
阶段一:三次握手(建立连接)
由于 HTTP 协议基于 TCP,所以上来要进行三次握手,并且能够看出客户端地址为 10.1.1.101,端口为 3177,服务端地址为 10.1.1.1,端口为 80,通过三次握手建立连接后,便可以向服务端发送请求传输内容了。
阶段二:请求&响应(数据传输)
上面截图中的 4 号包是客户端向服务端发送“GET / HTTP/1.1”请求,即通过 1.1 版的 HTTP 协议发送请求,协议包内容如下。
通过上面抓包,能够清晰看出请求方式为 GET,以及客户端的一些环境信息,请求相关的信息,清晰可见。这里多关注一下 Response in frame:6,告诉请求对应的响应包是 6 号包,接下来打开 6 号包看一下响应内容。
6 号包是服务端对客户端请求的响应,即把响应页面内容发给客户端,通过上图能够看出响应的是一个 HTML 页面,内容清晰可见。
阶段三:四次挥手(断开连接)
如上图示意,可以看到四次断开的挥手包,编号分别为 7、8、9 和11。从 Info 列可以看到这四个包的标志位分别为 FIN,ACK、ACK、FIN,ACK 和 ACK。下面依次分析 TCP 的四次断开连接数据包。
第一次挥手:
源端口 80 向目标端口 3177,发送 FIN 数据报,序列号为 436,确认序列号为 477。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中,ACK 和 FIN 标志位值为 1,其它标志位都为 0。
第二次挥手:
如上图所示,从 TCP 协议层可以看到,源端口为 3177,目标端口为 80,序列号为 477,确认号为 437。从 Flags 分支中可以看到,当前报文的标志位为 ACK。其中 ACK 标志位值为 1,其他标志位都为 0。
第三次挥手:
如上图所示,从 IP 协议层可以看到,源地址为 10.1.1.101,目标 IP 地址为 10.1.1.1。从 TCP 协议层可以看到,源端口为 3177,目标端口为 80,序列号为 477,确认号为 437。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中 ACK 和 FIN 标志位值为 1,其它标志位都为 0。
第四次挥手:
如上图所示,可以看到源端口为 80,目标端口为 3177,序列号为437,确认号为 478。从 Flags 分支中可以看到该报文的标志位为ACK。其中 ACK 标志位值为 1,其它标志位都为 0。
到这,虽然只分析了一个简单 HTTP 请求,但是结合 Wirkeshark 细细去想,整个通信过程确实还挺复杂,不过整个过程确实是一览无遗,那么试想一下平时的聊天记录,是否会被(BOSS)发现?很不幸,答案是肯定的。
Wireshark:HTTP 响应分析
借助 Wireshark 的“显示分组字节”功能,很容易就能看到 HTTP 的响应内容。
例如1:从服务端下载文件
上面截图是通过 Wireshark 分析下载图片的数据包,借助 Wireshark 的“显示分组字节”功能,便可轻松看到图片内容。
例如2:服务端响应 HTML
借助 Wireshark 的“显示分组字节”功能,很轻松看到服务端响应给客户端的 HTML 内容。
感兴趣的老铁,纸上得来终觉浅,希望能亲自通过 Wireshark 好好去体验体验。
写在最后
本次 Wireshark 分享就写到这里,为了能够让分享不出现纰漏,查阅了很多文档、书籍以及官方资料,归纳汇总一下给老铁,希望对老铁能有所帮助。
资料分享:
经典例子:https://gitlab.com/wireshark/wireshark/-/wikis/SampleCaptures官方文档:https://www.wireshark.org/docs/wsug_html_chunked/文章分享的数据包可以从这里 get 到:
https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/http_with_jpegs.cap.gz https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/200722_tcp_anon.pcapng
参考书籍:
《从实践中学习Wireshark数据分析》
《Wireshark网络分析就是这么简单》
一起聊技术、谈业务、喷架构,少走弯路,不踩大坑。会持续输出精彩分享,敬请期待!