热门标签
当前位置: article > 正文
TCP协议解码详解_tcp解码
作者:笔触狂放9 | 2024-05-24 06:40:14
赞
踩
tcp解码
TCP协议解码详解
一、 TCP协议简介
TCP,全称Transfer Control Protocol,中文名为传输控制协议,它工作在OSI的传输层,提供面向连接的可靠传输服务。
TCP的工作主要是建立连接,然后从应用层程序中接收数据并进行传输。TCP采用虚电路连接方式进行工作,在发送数据前它需要在发送方和接收方建立一个连接,数据在发送出去后,发送方会等待接收方给出一个确认性的应答,否则发送方将认为此数据丢失,并重新发送此数据。
下面我们来介绍一下TCP的报头结构和相关工作原理:
1. TCP报头
TCP报头总长最小为20个字节,其报头结构如下图(图1)所示;
源端口:指定了发送端的端口
目的端口:指定了接受端的端口号
序号:指明了段在即将传输的段序列中的位置
确认号:规定成功收到段的序列号,确认序号包含发送确认的一端所期望收到的下一个序号
TCP偏移量:即,首部长度,指定是TCP段头的长度。段头的长度取决与段头选项字段中设置的选项,在没有可选项时,该字段固定为5,表示首都长度为20字节(TCP报头结构每4bytes一行,占5行,有20bytes=20*8bit),如果大于5,则从21字节开始为TCP报文的可选项。
保留字段:指定了一个保留字段,以备将来使用,占6bit位(8bit位=1byte字节)
标志:由SYN、ACK、PSH、RST、URG、FIN这6个标志位构成,占6bit位。
SYN: 表示同步
ACK: 表示确认
PSH: 表示尽快的将数据送往接收进程
RST: 表示复位连接,用于一方希望突然中断连接,但可能导致部分数据丢失
URG:表示紧急指针
FIN: 表示发送方完成数据发送
窗口:指定关于发送端能传输的下一段的大小的指令
校验和:校验和包含TCP段头和数据部分,用来校验段头和数据部分的可靠性
紧急:指明段中包含紧急信息,只有当U R G标志置1时紧急指针才有效
选项:用来扩充TCP的功能;指定了公认的段大小,时间戳,选项字段的末端,以及指定了选项字段的边界选项
2. TCP工作原理
1、 TCP连接建立:TCP的连接建立过程又称为TCP三次握手。首先发送方主机向接收方主机发起一个建立连接的同步(SYN)请求;接收方主机在收到这个请求后向送方主机回复一个同步/确认(SYN/ACK)应答;发送方主机收到此包后再向接收方主机发送一个确认(ACK),此时TCP连接成功建立;
2、 TCP连接关闭:发送方主机和目的主机建立TCP连接并完成数据传输后,会发送一个将结束标FIN记置1的数据包,以关闭这个TCP连接,并同时释放该连接占用的缓冲区空间;
3、 TCP重置:TCP允许在传输的过程中突然中断连接,这称为TCP重置;(RST=1)
4、 TCP重传:在TCP的传输过程中,如果在重传超时时间内没有收到接收方主机对某数据包的确认回复,发送方主机就认为此数据包丢失,并再次发送这个数据包给接收方,这称为TCP重传;
5、 TCP数据排序和确认:TCP是一种可靠传输的协议,它在传输的过程中使用序列号和确认号来跟踪数据的接收情况;
6、 TCP延迟确认:TCP并不总是在接收到数据后立即对其进行确认,它允许主机在接收数据的同时发送自己的确认信息给对方。
7、 TCP数据保护(校验和):TCP是可靠传输的协议,它提供校验和计算来实现数据在传输过程中的完整性。
TCP正常连接建立和终止所对应的状态图
二、 解码详解
要看懂TCP解码信息,就必须清楚知道TCP工作原理和TCP报头的相关字段信息。
下面我们就通过科来网络分析系统中的解码信息来认识TCP协议的报头。
1、没有可选项的TCP报文
(图2 没有可选项的TCP解码信息) 上图显示了TCP协议中报头中字段的详细信息,这里的解码信息完全和TCP报头结构相吻合,下面我们分别来介绍解码视图中的信息:
1. 源端口:1041,偏移量为34,值占2个字节,16bit;
2. 目标端口:5001,端口名为 complex-link,偏移量为36,值为2个字节,16bit;
3. 序列号:TCP数据包序列号为1486948363,偏移量为38,值为4个字节,32bit;
4. 确认号:TCP数据包确认号为3871350342,偏移量为42,值为4个字节,32bit;(序列号10进制)
5. TCP偏移量:即TCP头部长度Header length,TCP偏移量为5,表示头部有20字节,无可选项,偏移量为46,占4bit位,虽然这里占1字节(8bit),但后面的4bit位是TCP保留位,默认为0。
6. 标志:PSH和ACK的值为1,这是一个确认包,收到的有效段立即发给应用,不要放入缓冲区。其中,标志占6bit位,虽然这里占1字节(8bit),但前面的2bit位是TCP保留位,默认为0。
7. 窗口:表示接收端能够接收的下一段的大小64124。
8. 校验和:校验和为0x10D4(正确),表示数据没有被修改和损坏,是完整的。
9. 紧急指针:因为标志字段中URG标志位的值为0,所以这里无紧急指针
10. 无TCP选项:无选项内容
2、含有可选项的TCP报文
图3 含有可选项的TCP报文信息 图3显示了TCP协议中报头中字段的详细信息,这里的解码信息完全和TCP报头结构相吻合,下面我们分别来介绍解码视图中的信息:
1. 源端口:1362,偏移量为34,值为2个字节;
2. 目标端口:80,端 口名为 www-http,偏移量为36,值为2个字节;
3. 序列号:TCP数据包序列号为3173147117,偏移量为38,值为4个字节;
4. 确认号:TCP数据包确认号为 0000000000,偏移量为42,值为4个字节;(序列号10进制)
5. TCP偏移量:即TCP头部长度Header length,TCP偏移量为7,表示头部有28字节,有可选项占8字节。偏移量为46,值为4bit位,虽然这里占1字节(8bit),但后面的4bit位是TCP保留位,默认为0。(0Xf0即11110000表示前4位可用,后4位保留)
6. 标志:SYN的值为1,这是一个SYN同步请求包。其中,标志占6bit位,虽然这里占1字节(8bit),但前面的2bit位是TCP保留位,默认为0。
7. 窗口:表示接收端能够接收的下一段的大小65535。
8. 校验和:校验和为0x309D(正确),表示数据没有被修改和损坏,是完整的。
9. 紧急指针:因为标志字段中URG标志位的值为0,所以这里无紧急指针
10. TCP选项:选项内容有4个选项(即下图中的4行)分别是
MSS:默认为1460字节 ;占4 Bytes
NOP:NO Operation 为了让TCP表头(包含Options字段)刚好是4 Bytes的倍数;NOP占1Bytes
允许选择性确认SACK:占2Bytes
(图4 可选项部分) 最常用的可选项为MSS,即数据段的最大长度选项。MSS主要用于建立连接时使用,在建立连接的第一个TCP报文中,SYN置1,MSS被添加在首部之后,指出发送方希望接收到的一个TCP报文中的最大数据体的长度。
选择性确认SACK的思想是只重传那些肯定已丢失的数据P D U。为打开选择性确认功能,每一个TCP站点在建立连接期间指示它具有接受SACK PDU的能力,SACK PDU中包含了有关丢失和成功接收的数据SDU的信息。这样,一个具有SACK能力的TCP,在它的连接建立PDU设置了SYN标志)的头部选项字段中,传递一个SACK-permitted选项。该选项由设置为4的选项类型、定义这个选项结构字节数的选项长度(设置为2)组成。接收到一个SACK-permitted选项表明对方TCP能够完成选择性重传,也能够接受带有SACK选项的数据P D U,称为SACK PDU
以上为实际抓取的一个TCP数据包,大家可以通过上述的方法学习TCP协议。
一、 TCP协议简介
TCP,全称Transfer Control Protocol,中文名为传输控制协议,它工作在OSI的传输层,提供面向连接的可靠传输服务。
TCP的工作主要是建立连接,然后从应用层程序中接收数据并进行传输。TCP采用虚电路连接方式进行工作,在发送数据前它需要在发送方和接收方建立一个连接,数据在发送出去后,发送方会等待接收方给出一个确认性的应答,否则发送方将认为此数据丢失,并重新发送此数据。
下面我们来介绍一下TCP的报头结构和相关工作原理:
1. TCP报头
TCP报头总长最小为20个字节,其报头结构如下图(图1)所示;
源端口:指定了发送端的端口
目的端口:指定了接受端的端口号
序号:指明了段在即将传输的段序列中的位置
确认号:规定成功收到段的序列号,确认序号包含发送确认的一端所期望收到的下一个序号
TCP偏移量:即,首部长度,指定是TCP段头的长度。段头的长度取决与段头选项字段中设置的选项,在没有可选项时,该字段固定为5,表示首都长度为20字节(TCP报头结构每4bytes一行,占5行,有20bytes=20*8bit),如果大于5,则从21字节开始为TCP报文的可选项。
保留字段:指定了一个保留字段,以备将来使用,占6bit位(8bit位=1byte字节)
标志:由SYN、ACK、PSH、RST、URG、FIN这6个标志位构成,占6bit位。
SYN: 表示同步
ACK: 表示确认
PSH: 表示尽快的将数据送往接收进程
RST: 表示复位连接,用于一方希望突然中断连接,但可能导致部分数据丢失
URG:表示紧急指针
FIN: 表示发送方完成数据发送
窗口:指定关于发送端能传输的下一段的大小的指令
校验和:校验和包含TCP段头和数据部分,用来校验段头和数据部分的可靠性
紧急:指明段中包含紧急信息,只有当U R G标志置1时紧急指针才有效
选项:用来扩充TCP的功能;指定了公认的段大小,时间戳,选项字段的末端,以及指定了选项字段的边界选项
2. TCP工作原理
1、 TCP连接建立:TCP的连接建立过程又称为TCP三次握手。首先发送方主机向接收方主机发起一个建立连接的同步(SYN)请求;接收方主机在收到这个请求后向送方主机回复一个同步/确认(SYN/ACK)应答;发送方主机收到此包后再向接收方主机发送一个确认(ACK),此时TCP连接成功建立;
2、 TCP连接关闭:发送方主机和目的主机建立TCP连接并完成数据传输后,会发送一个将结束标FIN记置1的数据包,以关闭这个TCP连接,并同时释放该连接占用的缓冲区空间;
3、 TCP重置:TCP允许在传输的过程中突然中断连接,这称为TCP重置;(RST=1)
4、 TCP重传:在TCP的传输过程中,如果在重传超时时间内没有收到接收方主机对某数据包的确认回复,发送方主机就认为此数据包丢失,并再次发送这个数据包给接收方,这称为TCP重传;
5、 TCP数据排序和确认:TCP是一种可靠传输的协议,它在传输的过程中使用序列号和确认号来跟踪数据的接收情况;
6、 TCP延迟确认:TCP并不总是在接收到数据后立即对其进行确认,它允许主机在接收数据的同时发送自己的确认信息给对方。
7、 TCP数据保护(校验和):TCP是可靠传输的协议,它提供校验和计算来实现数据在传输过程中的完整性。
TCP正常连接建立和终止所对应的状态图
二、 解码详解
要看懂TCP解码信息,就必须清楚知道TCP工作原理和TCP报头的相关字段信息。
下面我们就通过科来网络分析系统中的解码信息来认识TCP协议的报头。
1、没有可选项的TCP报文
(图2 没有可选项的TCP解码信息) 上图显示了TCP协议中报头中字段的详细信息,这里的解码信息完全和TCP报头结构相吻合,下面我们分别来介绍解码视图中的信息:
1. 源端口:1041,偏移量为34,值占2个字节,16bit;
2. 目标端口:5001,端口名为 complex-link,偏移量为36,值为2个字节,16bit;
3. 序列号:TCP数据包序列号为1486948363,偏移量为38,值为4个字节,32bit;
4. 确认号:TCP数据包确认号为3871350342,偏移量为42,值为4个字节,32bit;(序列号10进制)
5. TCP偏移量:即TCP头部长度Header length,TCP偏移量为5,表示头部有20字节,无可选项,偏移量为46,占4bit位,虽然这里占1字节(8bit),但后面的4bit位是TCP保留位,默认为0。
6. 标志:PSH和ACK的值为1,这是一个确认包,收到的有效段立即发给应用,不要放入缓冲区。其中,标志占6bit位,虽然这里占1字节(8bit),但前面的2bit位是TCP保留位,默认为0。
7. 窗口:表示接收端能够接收的下一段的大小64124。
8. 校验和:校验和为0x10D4(正确),表示数据没有被修改和损坏,是完整的。
9. 紧急指针:因为标志字段中URG标志位的值为0,所以这里无紧急指针
10. 无TCP选项:无选项内容
2、含有可选项的TCP报文
图3 含有可选项的TCP报文信息 图3显示了TCP协议中报头中字段的详细信息,这里的解码信息完全和TCP报头结构相吻合,下面我们分别来介绍解码视图中的信息:
1. 源端口:1362,偏移量为34,值为2个字节;
2. 目标端口:80,端 口名为 www-http,偏移量为36,值为2个字节;
3. 序列号:TCP数据包序列号为3173147117,偏移量为38,值为4个字节;
4. 确认号:TCP数据包确认号为 0000000000,偏移量为42,值为4个字节;(序列号10进制)
5. TCP偏移量:即TCP头部长度Header length,TCP偏移量为7,表示头部有28字节,有可选项占8字节。偏移量为46,值为4bit位,虽然这里占1字节(8bit),但后面的4bit位是TCP保留位,默认为0。(0Xf0即11110000表示前4位可用,后4位保留)
6. 标志:SYN的值为1,这是一个SYN同步请求包。其中,标志占6bit位,虽然这里占1字节(8bit),但前面的2bit位是TCP保留位,默认为0。
7. 窗口:表示接收端能够接收的下一段的大小65535。
8. 校验和:校验和为0x309D(正确),表示数据没有被修改和损坏,是完整的。
9. 紧急指针:因为标志字段中URG标志位的值为0,所以这里无紧急指针
10. TCP选项:选项内容有4个选项(即下图中的4行)分别是
MSS:默认为1460字节 ;占4 Bytes
NOP:NO Operation 为了让TCP表头(包含Options字段)刚好是4 Bytes的倍数;NOP占1Bytes
允许选择性确认SACK:占2Bytes
(图4 可选项部分) 最常用的可选项为MSS,即数据段的最大长度选项。MSS主要用于建立连接时使用,在建立连接的第一个TCP报文中,SYN置1,MSS被添加在首部之后,指出发送方希望接收到的一个TCP报文中的最大数据体的长度。
选择性确认SACK的思想是只重传那些肯定已丢失的数据P D U。为打开选择性确认功能,每一个TCP站点在建立连接期间指示它具有接受SACK PDU的能力,SACK PDU中包含了有关丢失和成功接收的数据SDU的信息。这样,一个具有SACK能力的TCP,在它的连接建立PDU设置了SYN标志)的头部选项字段中,传递一个SACK-permitted选项。该选项由设置为4的选项类型、定义这个选项结构字节数的选项长度(设置为2)组成。接收到一个SACK-permitted选项表明对方TCP能够完成选择性重传,也能够接受带有SACK选项的数据P D U,称为SACK PDU
以上为实际抓取的一个TCP数据包,大家可以通过上述的方法学习TCP协议。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/616247
推荐阅读
相关标签
