一、TCP 协议核心机制

在分析 TCP 流量前，需理解其核心机制：

1. 三次握手：SYN → SYN+ACK → ACK
2. 四次挥手：FIN → ACK → FIN → ACK
3. 序列号（SEQ）与确认号（ACK）：确保数据有序传输。
4. 滑动窗口（Window Size）：控制发送速率，避免拥塞。
5. 重传机制：丢包时触发重传（Retransmission）。

二、Wireshark TCP 分析基础

1. 关键过滤表达式

2. 关键分析面板

• Packet Details 面板：查看 TCP 头部字段（源/目的端口、序列号、确认号、标志位）。分析 TCP 选项（如 MSS、Timestamps）。
• TCP Stream Graphs：Round Trip Time (RTT)：分析往返延迟。Throughput：观察吞吐量变化。Window Size：检测窗口大小波动（如零窗口）。
• Statistics 菜单：TCP Stream Graphs：生成可视化图表。Conversations：统计 TCP 会话流量分布。

三、异常流量识别与分析

1. TCP 重传（Retransmission）

原因：

• 网络丢包（如带宽不足、链路不稳定）。
• 服务器响应慢（如高负载、死锁）。

Wireshark 过滤：

tcp.analysis.retransmission

分析步骤：

1. 定位重传包的时间点和序列号。
2. 检查对应数据包的 RTT（右键 → TCP → Round Trip Time）。
3. 若多个重传包集中在某一时间段，可能为网络拥塞或服务器故障。

案例：

# 过滤 HTTP GET 请求的重传包
http.request.method == "GET" && tcp.analysis.retransmission

2. TCP 零窗口（Zero Window）

原因：

• 接收方处理能力不足（如 CPU/内存过载）。
• 接收缓冲区满，无法接收更多数据。

Wireshark 过滤：

tcp.window_size == 0

分析步骤：

1. 查看零窗口事件前后的流量模式。
2. 检查接收方性能指标（如 CPU 使用率、内存占用）。
3. 若持续出现零窗口，可能需优化接收方性能或调整发送速率。

3. TCP 乱序（Out-of-Order）

原因：

• 网络路径不稳定（如多路径路由导致包顺序混乱）。
• 数据包经过不同延迟的链路。

Wireshark 过滤：

tcp.analysis.out_of_order

分析步骤：

1. 观察乱序包的序列号是否连续。
2. 若少量乱序，TCP 会自动重排；若频繁发生，可能影响应用性能。

4. TCP RST（Reset）

原因：

• 异常关闭连接（如客户端/服务器崩溃）。
• 防火墙或安全设备拦截请求。

Wireshark 过滤：

tcp.flags.reset == 1

分析步骤：

1. 检查 RST 包的发送方（客户端或服务器）。
2. 若 RST 包伴随 SYN 包，可能为防火墙拦截（如端口未开放）。

5. 异常端口与协议行为

场景：

• 扫描行为（如 SYN 扫描、FIN 扫描）。
• 非标准端口上的异常流量。

Wireshark 过滤：

# 过滤 SYN 扫描（大量 SYN 包无后续 ACK）
tcp.flags.syn == 1 && tcp.analysis.flags

四、实战案例：识别 DDoS 攻击

场景：某 Web 服务器遭受 SYN Flood 攻击，需通过 Wireshark 分析流量特征。

步骤 1：捕获流量

tcpdump -i eth0 -w ddos_capture.pcap port 80

步骤 2：过滤 SYN 包

tcp.flags.syn == 1 && tcp.flags.ack == 0

步骤 3：分析攻击特征

1. 异常 SYN 包数量：短时间内大量 SYN 包来自单一或分散 IP。
2. 无后续 ACK：SYN 包未完成三次握手（半连接攻击）。
3. 源 IP 伪造：通过 ip.src 过滤发现大量伪造 IP。

结论：确认为 SYN Flood 攻击，需启用防火墙规则过滤异常流量。

五、总结与提升建议

1. 基础能力：

• 熟练使用 TCP 过滤器和统计工具（如 tcp.analysis）。
• 理解重传、零窗口、乱序等异常的根源。

2. 进阶技能：

• 结合 tshark 命令行工具批量分析日志（如统计重传率）。
• 使用 Wireshark 的专家信息（Analyze → Expert Info）自动化标记问题。

3. 工具扩展：

• Bro/Zeek：网络流量分析框架，生成详细日志。
• Suricata：开源 IDS/IPS，实时检测异常流量。

通过系统化学习和大量实践，您将能够快速定位网络问题并制定优化策略！