文档介绍：Wireshark 监听TCP协议报告
实验环境说明:
建立TCP连接的两台主机的IP地址:
<->.
建立TCP连接的两台主机的应用层协议:
HTTP
Wireshark界面截图
分析数据包中IP协议各字段的值和含义
wireshark界面截图(展开IP协议)
在上图中,IP数据包头部字段的16进制码为
45 00 00 34 1a 17 40 00 40 06 22 98 c0 a8 c2 d9 79 c2 00 d1
IP数据包中头部字段的含义
第1字节(45):这个字节包含两个字段(版本号和IP数据包头部长度)的值。IP协议的版本号为4,IP数据包头部长度为20字节(一个单位为 4 字节,合计5个单位).
第2字节(00):这个字节表征服务类型。它包含它包含如下子字段
过程字段:3位,设置了数据包的重要性,取值越大数据越重要,取值范围为:0(正常)~ 7(网络控制)
延迟字段:1位,取值:0(正常)、1(期特低的延迟)
流量字段:1位,取值:0(正常)、1(期特高的流量)
可靠性字段:1位,取值:0(正常)、1(期特高的可靠性)
成本字段:1位,取值:0(正常)、1(期特最小成本)
未使用:1位
所捕获的数据包中,该字节的值为0,表示该数据包的重要性为正常,延迟正常,流量正常,可靠性正常,成本正常。
第3个字节(00):IP数据包的总长度字段中的高位字节。
第4个字节(34):IP数据包的总长度字段中的低位字节。由第3字节和第4字节可知,IP数据包的总长度为52(3*16+4)字节。
第5个和第6个字节(1a17): 标识(identification)    占 16 bit,它是一个
计数器用来产生数据报的标识,便于重装分段的同一数据报。
第7个字节(40):标志3位,他们各自的意义如下:        
保留段位(2):1位,未使用 
       不分段位(1):1位,取值:0(允许数据报分片)、1(数据报不能分段) 
   更多段位(0):1位,取值:0(数据包后面没有包,该包为最后的包)
1(数据包后面有更多的包)
第8个字节(00):段偏移量13位,与更多段位组合,帮助接收方组合分段的报文,以字节为单位。
第9个字节(40):生存时间(8 bit)记为 TTL (Time To Live),这是为了限制数据报在网络中的生存时间,当前值是64,数据报每经过一个路由器,其值就减 1。
第10个字节(06):协议代码8位,表明使用该包裹的上层协议,TCP=6。
第11,12字节(2298):头检验和16位,是IPv4数据包头部的校验和。
第13,14,15,16个字节(c0 a8 c2 d9): 源始地址,32位4字节,我们常看到的IP是将每个字节用点(.)分开。
第17,18,19,20个字节(79 c2 00 d1):32位,同上。
分析数据包中TCP协议各字段的值和含义
wireshark界面截图(展开TCP协议)
在上图中,TCP数据包头部字段的16进制码为
f1 84 00 50 0d 72 99 42 00 00 00 00 80 02 20 00 b8 77 00 00 02 04 05