Wireshark 抓包理解 HTTPS 请求流程(1) - TCP 三次握手

转自:Wireshark 抓包理解 HTTPS 请求流程(1) - TCP 三次握手

1. 准备

我的操作是这样的,让手机和电脑在同一个局域网内(比如连接同一个 wifi),接着在手机的wifi上设置代理,电脑使用 Charles 做代理,IP 为电脑在局域网 IP,我这边的环境,手机 IP 为 172.17.32.117,电脑 IP 为 172.17.32.19。再设置代理端口为 8888。设置代理后,接下来手机的请求都会通过电脑的网卡代理请求发送出去。
其实可以不用这么绕。我之所以多设了一个代理,是因为自己电脑创建的 wifi 热点,手机接收不到。为了让手机的包能经过电脑网络嗅探到才这么处理的。
最便捷的方式,就是电脑放个 wifi 热点给手机连接完事。
创建后代理连接后,然后使用 Wireshark 嗅探网卡,比如我这里使用的是 etho0 网卡去访问网络的。这时候玩玩手机,打开几个请求,Wireshark 上面就会出现捕捉的大量的包,各种各样的协议都有,有 ARP 寻人启事(寻找 IP 对应的物理地址),有 TCP 连接包,有 HTTP 请求包。
抓包-所有数据
这里我设置了一下过滤规则,把对网易的一个 https://nex.163.com 的一个的请求过滤出来如下:
整个完整的 HTTPS 请求的过程如下:
  • TCP 三次握手
  • 因为我使用电脑作为代理,所以还有一个 CONNECT 请求用来建立 HTTP 代理
  • 使用 TLSv1.2 进行 SSL 握手
  • 使用握手协商好的密钥对 HTTP 进行加密传输
  • TCP 四次挥手
接下来把手机称为 A(172.17.32.211),电脑称为 B(172.17.32.19),对完整的过程进行简要分析。

2. 三次握手

2.1. TCP 协议内容

作为整个过程的第一个 TCP 包,这里对它做一个详细的剖析,理解一下 TCP 报文的格式和内容。TCP 是传输层协议,负责可靠的数据通信,它在整个体系结构的位置如下:
体系结构
作为传输层协议,主要为上层协议提供三个功能:
  • 可靠传输,为每个字节安排好序号,排好序,并且有重传机制保证信息不丢失。
  • 流量控制,有滑动窗口,避免发送端和接收端速率不一致导致发包过快来不及接收。
  • 拥塞避免,在网络环境差的时候,控制好传包的时间间隔,避开高峰期,不给原本已经很拥堵的网络添堵。
TCP 协议为 HTTP 和 SSL 协议提供了基础的通信功能。所以 SSL 协议是基于 TCP 的。
三次握手的内容有:
No. Time Source Destionation Protocol Length Info
379 4.623811 172.17.32.211 172.17.32.19 TCP 74 35973 → 8888 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1 TSval=15986187 TSecr=0 WS=256
380 4.623860 172.17.32.19 172.17.32.211 TCP 74 8888 → 35973 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 TSval=59355465 TSecr=15986187
393 4.781431 172.17.32.211 172.17.32.19 TCP 66 35973 → 8888 [ACK] Seq=1 Ack=1 Win=87808 Len=0 TSval=15986193 TSecr=59355465
对每个包进行详细的分析:

2.2. Round 1

A 发出一个带 SYN 同步位的包,通知服务端要建立连接
第一次握手,发出的 TCP 包的数据和 Wireshark 解析的结果如下:
三次握手-1
灰色部分就是 TCP 报文的数据内容,第一个两个字节 0x8c85 = 35973 表示源端口。
TCP 报文的格式如下,对应的如上图的灰色部分。非灰色部分分别为 IP 首部和数据帧首部。
 0  1  2  3  4  5  6  7  8  9  10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    源端口                      |                     目的端口                   |
+-----------------------------------------------+-----------------------------------------------+
|                                             序列号                                             |
+-----------------------------------------------------------------------------------------------+
|                                             确认号                                             |
+-----------+-----------------+-----------------+-----------------------------------------------+
|  首部长度  |     保留位       | U| A| P| R| S| F|                      窗口                      |
+-----------+-----------------+-----------------+-----------------------------------------------+
|                    校验和                      |                     紧急指针                   |
+-----------------------------------------------+-----------------------+-----------------------+
|                    选项                                                |        填充            |
+=======================================================================+=======================+
|                                             数据                                               |
参考谢希仁版本的 《计算机网络》一书,对照着整个报文格式表,把整个 TCP 报文的二进制信息和相关意义做些说明:
  • 源端口,2 字节,0x8c85 = 35973。
  • 目的端口,2字节,0x22b8 = 8888。
  • 序号,4 字节,0xc7a3ce5c。TCP 连接传送的每一个字节都有编号,而这里表示的是要发送的数据(data)的第一个字节的序号。后面按照这个序号递增。这里发送的是 TCP 连接的第一个包,这里的序号是随机产生的。
  • 确认号,4 字节,0x00000000。期望收到的下一个报文段数据部分第一个字节的序号。如果发出了 N 确认号,就表示 N-1 之前的数据都收到了。
  • 首部长度(偏移),4 位,0xa = 10。这里每一位表示4字节,所以 10*4 = 40 字节。TCP 首部的长度,因为 4 位最大的数为 15,所以整个首部最大 60 字节。首部后面就是数据字段。
  • 保留位,6 位,0x000。这里还没有用到为 0,这里的设计作为一个扩展以便未来会用上。
  • 控制位,6 位,0x002 = 二进制 000010。每一位都有意义,这里对应 6 种类型:
    • URG,Urgent,表示紧急数据要提交,有了这个标记为整个报文就有了插队的特权,和紧急指针一起用。
    • ACK,Acknowledge,1 表示这是一个确认报文,用来确认收到了包,确认报文是不带数据的。
    • PSH,Push,1 表示这是一个推送报文,通知对方尽快响应。因为服务端可能因为缓存问题要等了一会儿才发包。这里就是催促一下对方赶紧发包。
    • RST,Reset,1 表示拒绝了这个包,网络发生错误的时候这种包会非常多。比如重复的包就会被 reset 掉。
    • SYN,Synchronization,1 表示建立连接用来同步序号。用来握手阶段,通知对方包的初始序号。
    • FIN,Finish,1 表示发送方 B 完成数据发送,通知接收方 A 该结束了。
    我们这里作为整个请求过程中的第一个 TCP 报文,仅仅设置一个控制位 SYN,一方面通知响应者 B 要建立连接了,另一方面同步一下序号。
  • 窗口,2 字节,0xffff = 65535。发送本报文的接收窗口大小,比如 A 发送了这个报文,表示能接收的数据量为从确认号算起来加上窗口大小,B 发送的报文字节数不能超过这个限制。这个值受 A 的缓存影响,是动态变化的。前面给出确认号为 0, 然后窗口大小 65535,表示还有 65535 的缓存空间可以接受序号 0 ~ 65535 的字节。
  • 检验和,2 字节,0x068f。接收方受到报文要计算一下数据包的检验和是否和该值匹配,确保数据包的完整。这里只保证了数据完整性,并没有确认服务端身份,也没有用摘要算法。目的在于能快速检验,而且采用检验和的方式还可以使用硬件加速
  • 紧急指针,2 字节,0x0000f。和控制位 URG 配合使用,意义在于,有紧急数据要处理,这里的值表示紧急数据在报文中的位置。
到这里的话,TCP 数据报首部固定部分结束,固定部分一共有 20 字节。也就是 TCP 首部,至少要有 20 字节。
固定首部后,就是可长度可以变化的选项了:
  • 选项,可达 40 字节
    • 最大报文长度,0x020405b4。0x2 表示这是个 MSS 选项,0x04 表示该选项一共有 4 字节,这里的 0x05b4 = 1460 为该选项的值。这个表示 TCP 数据部分的最大字节数。
    • 时间戳,0x080a00f3ee0b00000000。0x8 表示这是个时间戳选项,0x0a 表示该选项一共有 10 字节,0x00f3ee = 15986187 就是发送者的发送时间,0x00000000 = 0 表示接收端的时间。
整个所以 TCP 数据包的大小可以这样表示:
+------------------------+--------------------------------------------------------------+
|  TCP 首部,20 ~ 60 字节 |           数据部分,受 MSS 大小限制                          |     
+------------------------+--------------------------------------------------------------+
我们 Wireshark 后面的一长串的信息就指出了该 TCP 报文的一些主要信息:
359738888 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1 TSval=15986187 TSecr=0 WS=256
  • 源端口和目的端口,35973->8888。
  • 序号,Seq=0,这是一个相对值而非绝对值,相对第一个包的序列号。因为是整个 TCP 流的第一包,所以 Wireshark 认定该包的序列号为 0。
  • 窗口大小,win=65535,也就是发送端的当前窗口最多容纳 65535 个字节。
  • 数据部分大小,Len=0,不带数据。
  • 最大报文大小选择,MSS=1460,数据部分最多有 1460 个字节。
  • 选择确认选项,SACK_PERM=1。
  • 发送时间戳,TSval=15986187,发出这个数据包的时候的时间戳。
  • 应答时间戳,TSecr=0,当前要发送的包应答的那个包的发送时间戳,因为是第一个包,应答的时间戳为 0。
  • 窗口扩大,WS=256。
从上面的分析可以看出,这个 SYN 包并没有携带数据,但是按协议这里要消耗一个序号。
在发出 SYN 包后,A 端进入 SYN-SENT 状态。

2.3. Round 2

B 收到 SYN 包,发出 SYN + ACK 确认包
这个包,既是确认收到了第一次握手的包,也是一个由 B 端发出的同步包,表示自己准备好了,可以开始传数据了。
因为 Wireshark 已经帮我们分析好包的内容了,上面列举的包二进制数据和 TCP 报文结构只是为了学习,实际应用可以直接看 Wireshark 的解析内容。包的内容如下:
三次握手-2
TCP 报文包相对于第一次握手的包可以窥见一些变化:
  • 源端口和目的端口:8888 -> 35973。
  • 窗口大小:8192,可以看成接收端的窗口只有 8192,和发送端差距还是挺大的。
  • 控制位:既有 SYN 又有 ACK。因为这既是一个接收端 B 的自己同步包,里面有一个接收端的初始序号,Wireshark 转化为相对序号 0;同时这也是对第一次握手的包的确认。因此这个包也不带数据。
  • 发送时间戳:59355465
  • 应答时间戳:15986187
可以看到,这个包的应答时间戳刚好是第一次握手的发送时间戳。从这里也可以理解到,这个包就是在响应第一次握手的包
所以,接收方 A 可以利用这个值来计算这一次 RTT,收到第二次握手的包后,计算当前时间戳减去该包的应答时间戳就是一个 RTT 的延时了。
这虽然是 ACK 包,但也是 SYN 包,所以也要消耗一个序号。
在发出这个包后,B 端进入 SYN-REVD 状态。

2.4. Round 3

A 收到后,再发出一个 ACK 确认包
发出的包如下:
No. Time Source Destionation Protocol Length Info
393 4.781431 172.17.32.211 172.17.32.19 TCP 66 35973 → 8888 [ACK] Seq=1 Ack=1 Win=87808 Len=0 TSval=15986193 TSecr=59355465
这里我们产生一个疑问,这里发送端 A 发连接请求信息、接收端 B 发确认信息,又互相同步了序号,是不是已经可以传输数据了?但实际上 A 还要再发一个 ACK 确认报文,如图所示,确认收到了 B 第二次握手发出的包,这个时候,在这个 ACK 包后 A 和 B 才正式进入 ESTABLISHED 状态。这就是第三次握手。
这是为什么呢?
假设我们用两次握手,然后在第一次握手期间,A 发了第一次握手包后出现了这样的场景:一直没有得到响应而进行超时重传,又发了一次包,然后我们称上一次包为失效包。然后我们可以看到,会出现这样的情形:
  • 新包到达接收端 B,然后因为两次握手 B 觉得连接建立,于是等着发送端 A 发数据,A 也发了数据。
  • 失效的包经过艰苦跋涉,也到达了接收端 B,B 并不清楚这是失效包,又开始等待发送端 A 发数据。然而此时 A 不发数据,所以 B 的资源就浪费掉了。
所以,只有接收端 B 在发送端 A 发出了第三次握手包后,才认为连接已经建立,开始等待发送端 A 发送的数据,才不会因为失效的连接请求报文导致接收端异常。

2.5. 小结

TCP 三次握手的时序图如下:
三次握手-时序图
三次握手,有几个重要的任务,一个是同步序号,接收端和发送端都发出同步包来通知对方初始序号,这样子后面接收的包就可以根据序号来保证可靠传输;另一个是让发送端和接收都做好准备。然后就开始传数据了。
整个过程都发生在 HTTP 报文发出之前。HTTP 协议就是依靠着 TCP 协议来做传输的管理。TCP 可以认为是它的管家,管理着传输的大大小小的事务,比如要不要保证包顺序一致?什么时候发包?要不要收包?TCP 是很严格的。
三次握手在 Java API 层面,对应的就是 Socket 的连接的创建(最终调用的是 native 层的 socket 创建):
socket.connect(address, connectTimeout);
这里的 connectTimeout 对应的是三次握手的总时长,如果超时了就会被认为连接失败。
比如一个场景,客户端发出一个 SYN 报文后,迟迟没有收到服务端的 SYN + ACK。这时候客户端触发重传机制,每次重传的间隔时间加倍,同样没有收到包。然后如果这段时间超出了连接超时时间的设置,那么建立连接超时就发生了。
所以,如果三次握手要花的时间,总是大于这里的 connectTimeout 时间,这个 Socket 就无法建立连接。
我们这一次请求的三次握手时间在 180ms 左右。
像在 OkHttp 中,如果是三次握手阶段的连接超时,是会有重试机制的。也就是重新建联,重新发出 SYN 报文发起 TCP 连接。重新建联的时候会更换连接的路由,如果已经没有可选择路由的话,那么这个就真的失败了。
在 OkHttp 3.9.0 的默认配置中,连接超时的时间为 10000ms = 10s。在 OkHttpClient.Builder 中。
      connectTimeout = 10_000;
      readTimeout = 10_000;
      writeTimeout = 10_000;
实际应用的时候,根据业务场景来调整。Wireshark 抓包理解 HTTPS 请求流程


时间: