Step3:输入过滤条件获取待分析数据包列表 ip.addr == 183.232.231.172
图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTPS的, 这说明HTTPS的确是使用TCP建立连接的。
第一次握手数据包
客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。
数据包的关键属性如下:
SYN :标志位,表示请求建立连接
Seq = 0 :初始建立连接值为0,数据包的相对序列号从0开始,表示当前还没有发送数据
Ack =0:初始建立连接值为0,已经收到包的数量,表示当前没有接收到数据
第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK。将确认序号(Acknowledgement Number)字段 1,即0 1=1。
数据包的关键属性如下:
[SYN ACK]: 标志位,同意建立连接,并回送SYN ACK
Seq = 0 :初始建立值为0,表示当前还没有发送数据
Ack = 1:表示当前端成功接收的数据位数,虽然客户端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位。(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)
第三次握手的数据包
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1。并且把服务器发来ACK的序号字段 1,放在确定字段中发送给对方,并且在Flag段写ACK的 1: