tcp三次握手抓包格式分析(tcp三次握手抓包实验详解)

field value的意思是首部的长度，这里是以4个字节为单位的，所以4*7刚好就是28个字节了，5*4=20个字节了
楼上正解，接楼上的往下说： TCP三次握手前两个报文需要指出MSS（最大报文长度），这个字段是在TCP选项字段里的，TCP报头由基本20字节和选项字段组成，所以前两个带SYN标志的报文都比20个字节大，至于究竟有多大，要看除了通告MSS之外还有没有使用其他的选项，如seletive ACK， 窗口扩大因子等。后续传输数据的TCP报文一般头长度都是二十字节（如果没有一些扩展选项被使用） 应用程序通过头长度来得知从哪一块起是TCP数据，如果这个指定错误，应用程序无法对数据正确处理。不能更改头长度值。查看一下TCP报头结构，你自然就知道怎么计算了。

4、-> ack XXXX(xx表示载荷包。因为第3步仅是一个确认包，它没有包含任何有效数据，所以这里的Seq仍旧是4071231309。仍旧是对第2步确认) TCP: Sequence number =4071231309TCP: Acknowledgement number =1191340144一般应用都是客户端先向服务器发数据的。这个过程有几个规则：规则1、累计确认。接收端对收到的载荷包（数据字段有值的TCP包），回应一个确认包，确认号是所收到包的TCP数据字段最后一个字节＋1。规则2、捎带确认。载荷包必须捎带确认字段。这样可以减少网络流量。 规则3、虚字节。有些数据包（ACK）不携带任何数据，所以不消耗序列号，也就是说仍旧保持不变。
TCP: Sequence number = 1191340145 TCP: Acknowledgement number =40712313101TCP: Sequence number = xTCP: Acknowledgement number =y2TCP: Sequence number = yTCP: Acknowledgement number =x+13TCP: Sequence number = x+1TCP: Acknowledgement number =y+14:TCP: Sequence number = y+1TCP: Acknowledgement number =x+2 ……
TCP需要三次握手才能建立连接，那么为什么需要三次握手呢？

[RST]是复位标志，用于复位相应的TCP连接。 此问题详细请百度 “TCP标志位" 复位到重新发送同步请求应该是TCP/IP协议有时间间隔的规定吧，我也不清楚，请查TCP/IP详解。

本文主要内容1、TCP数据包格式TCP数据包格式如下：注意到中间还有几个标志位：数据包格式当中，最重要的是理解序号和确认序号。TCP为什么是稳定可靠的，与序号与确认序号这套机制紧密相关，这也是TCP的精髓。2、TCP的三次握手众所周知，TCP协议是可靠的，而UDP协议是不可靠的。在一些场景中必须用TCP，比如说用户登录，必须给出明确答复是否登录成功等。而有些场景中，用户是否接收到数据则不那么关键，比如网络游戏当中，玩家射出一颗子弹，另外的玩家是否看到，完全取决于当前网络环境，如果网络卡顿，就会有玩家已经被射杀，但界面仍然刷新不出来的情况。这种情形适合UDP。为了保证TCP协议可靠，在建立连接之时就要得到保证。最初两端的TCP进程都处于CLOSED关闭状态，A主动打开连接，而B被动打开连接。（A、B关闭状态CLOSED——B收听状态LISTEN——A同步已发送状态SYN-SENT——B同步收到状态SYN-RCVD——A、B连接已建立状态ESTABLISHED）B服务器进程就处于LISTEN（收听）状态，等待客户的连接请求。若有，则作出响应。3、TCP的传输和确认TCP 传输的可靠性，可以用一句话归结：每收到对方数据，就发送 ACK 进行确定，发送方发送后没有收到 ACK 就隔一段时间重发。就是 A 向 B 发送消息（下面将 TCP 的报文直接看做是消息，消息一词跟 TCP 报文混用），B 收到消息后需要向 A 发送 ACK。这个 ACK 相当于返回结果，没有返回结果，A 就重新发送消息。归纳起来，A 有 3 种消息需要确认。另外 A 也可以发送 RST 消息，代表出错了。出错消息不需要确认。RST 也可以当成返回接口，替代正常的 ACK。返回 ACK，表示消息发送并处理成功，返回 RST 表示消息处理失败。因为通过网络传输，还有第三种结果，就是不确定成功失败。这样归纳起来。就有三种返回结果。这两种具体情况，A 根本识别不了，都只能重发。4、TCP的序号和确认序号A 向 B 发送消息，假如同时发送 a、b、c、d 消息，因为通过网络，这些消息的顺序并非固定的。而 B 返回 ACK 结果，这样就有一个问题，这个结果到底对应了哪个消息？另外当 A 超时重发后，原来的消息延时一段时候，又重新到达了 B，这样 B 就收到两条相同的消息，那么 B 怎么确定这两条消息是相同的呢？为了解决这个对应问题，每一条消息都需要有一个编号，返回结果也应该有一个编号。TCP 的序号可以看成是发送消息的编号，确认序号可以看成是返回结果的编号。有了编号，重复的消息才可以忽略，返回结果(ACK)才可以跟消息对应起来。当建立连接的时候，TCP 选定一个初始序号，之后每发送一个数据包（消息），就将序号递增，保证每发送不同的数据包，数据包的序号都是不同的。TCP 是这样处理的：SYN、FIN 也需要递增序号。不然 A 向 B 重发多个 SYN 或者 FIN, B 根本判断不了 SYN 是否相同，这样就不可以忽略重复的数据包了。当 TCP 发送 ACK 时，相当于返回结果，需要带有确认序号，以便跟发送的消息对应起来。当发送包编号为 a，递增长度为 len。其中 SYN 和 FIN 可以看成是递增长度为 1。这条消息可以这样表示为：现在来回顾三次握手过程。 A 发送序列号x给 B ， B 回复 A 确认号 x+ 1，同时发送序列号 y， A 接收到 B 的回复后，再回复确认号 y+1，同时发送序列号 x+1。给对方的回复一定是接收到的序号加1（或者是数据长度），这样对方才能知道我已经收到了，这样才能保证TCP是可靠的。

[RST]是复位标志，用于复位相应的TCP连接。 此问题详细请百度 “TCP标志位" 复位到重新发送同步请求应该是TCP/IP协议有时间间隔的规定吧，我也不清楚，请查TCP/IP详解。