wireshark抓包TCP(SSH)

SSH底层也是TCP协议，下面通过一个wireshark抓取SSH服务的流量

首先启动wireshark后，通过telent连接SSH服务，并键入”cc“后得到如下结果

# telnet xx.xx.xx.xx 22
Trying xx.xx.xx.xx...
Connected to xx.xx.xx.xx.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.4
cc
Protocol mismatch.
Connection closed by foreign host.

可以看出是服务端主动端口了连接，得到如下的TCP流量图，

下面逐一解释每条记录，在建立连接初始化时候，服务端和客户端的seq都为0（相对值），这个值是随机生成的，高级的工具都会将他翻译成相对值。

1. 客户端SYN建立TCP连接， seq = 0，此时客户端的seq已经变成 1
2. 服务端相应SYN,ACK ， seq = 0，ACK=1 此时服务端seq也变成了1
3. 客户端相应ACK， seq=1 ， ACK= 1 TCP的连接建立
4. 服务端PSH,ACK发送客户端SSH消息 21个字节。seq=1，ack=1，此时服务端的seq已经变成22了
5. 客户端会端相应ACK seq=1，ack=22 （1 + 21 ）
6. 客户端PSH,ACK发送”cc“4个字节，seq=1，ack=22
7. 服务端ACK确认， seq=22 ack=5 （1 + 4）
8. 服务端主动关闭FIN，ACK seq=22，ack=5
9. 客户端相应FIN,ACK seq=5，ack=23 （23 + 1）
10. 服务端确认关闭ACK seq=23，ACK=6

总结，可以看到每个数据包都有一个seq序列号，会根据发送数据一直累加。除了SYN包以外都有ACK号，它是期望对端发送的下一个报文的数据的编号。