八、  抓包实践

1.    用Android自带浏览器访问m.sohu.com

 

访问DNS服务器221.130.33.60进行DNS解析，将m.sohu.com域名解析成IP：221.179.173.166。

在发送真正的HTTP请求前需要建立TCP连接，上图是与服务器221.179.173.166建立连接前的三次握手。客户端通告窗口为14600字节，发送的TCP数据长度为0，MSS为1460。服务端的通告窗口为5792，SYN ACK的TCP数据长度为0。

发送HTTP请求，从数据中可以看到请求的数据。

上图报文段6为http请求，报文段7为该http请求的ack报文，报文段8为服务器返回的数据的第一个报文段，报文段9为客户端对8的ack，报文段12为服务端的第二个数据报文段，报文段13为12的ack，一直到报文段33接收数据结束（从报文段19到报文段24都是其它tcp连接的数据），33为一个总结的记录，是一个http结构的数据。其中客户端的win一直在增加，每次增加大概为2880字节。

2.    重传

图：重传数据

服务器为221.130.199.20，客户端为10.200.82.148

报文190为服务端发送给客户端的tcp分段数据，长度1476，tcp数据为1408（1476-68）字节，发送的字节序号为11625~12672。

报文191为报文190的ACK，表明客户端需要的下个字节从12673开始。

报文194为服务端发送给客户端的tcp分段数据，长度1476，tcp数据为1408（1476-68）字节，发送的字节序号为12763~14080。

报文195表为报文194的ACK，表明客户端需要的下个字节从14081开始。

报文229为服务端发送给客户端的tcp分段数据，长度1476，tcp数据为1408（1476-68）字节，提示上一个报文段丢失，查看具体数据，如下图

可以看出接收到的数据序号为19713~21121，表明从14081~19712的数据没有在该报文之前到达，有两种可能：丢失或失序，继续往下看。

       报文230为229的ACK，这里有一个Dup 1标记，是由于之前的报文没有到达，所以继续请求14081开始的报文。

       报文231为服务端发送给客户端的tcp分段数据，长度1476，tcp数据为1408（1476-68）字节，字节序号为21121~22528。

       报文232为232的ACK，有Dup 2标记，继续请求从14081开始的数据。

       报文233为服务端发送给客户端的tcp分段数据，长度1476，tcp数据为1408（1476-68）字节，字节序号为22529~23937。

       报文234为233的ACK，有Dup 3标记，继续请求从14081开始的数据。这里，由于已经有三个重复请求14081的ACK报文，可以认定14081的报文丢失了。

       报文235~报文281为成对的报文发送和ACK，ACK一直在请求14081数据。

       报文282为服务器发给客户端的tcp分段数据，长度为1476，wireshark已经表明是一个失序的TCP报文，查看数据如下图：

可以看到，服务端终于将客户端需要的14081报文发送出去。

       报文283是281报文的ACK，由于还没收到282报文，所以还是继续请求14081数据。

       报文284是282报文的ACK，由于282已经发送了14081~15488，所以下一个需要的报文将从15489开始。

       报文285重传数据15489~16896。

       报文286为285的ACK确认，同时请求16897开始的数据。

       报文287重传数据16897~18304。

       报文288为287的ACK确认，同时请求18305开始的数据。

       报文302重传数据18305~19712。

       报文303为302的ACK确认，同时由于之前已经收到了32384字节，所以请求32385开始的数据。