网络分析学习资料 -10bet十博欢迎您
tcp协议解码详解
一、tcp协议简介
tcp,全称transfer control protocol,中文名为传输控制协议,它工作在osi的传输层,提供面向连接的可靠传输服务。
tcp的工作主要是建立连接,然后从应用层程序中接收数据并进行传输。tcp采用虚电路连接方式进行工作,在发送数据前它需要在发送方和接收方建立一个连接,数据在发送出去后,发送方会等待接收方给出一个确认性的应答,否则发送方将认为此数据丢失,并重新发送此数据。
下面我们来介绍一下tcp的报头结构和相关工作原理:
1. tcp报头
tcp报头总长最小为20个字节,其报头结构如下图(图1)所示;
比特0 比特15 比特16 比特31
| 源端口(16) | 目的端口(16) | ||
| 序列号(32) | |||
| 确认号(32) | |||
| tcp偏移量(4) | 保留(6) | 标志(6) | 窗口(16) |
| 校验和(16) | 紧急(16) | ||
| 选项(0或32) | |||
| 数据(可变) | |||
图1 tcp报头结构
源端口:指定了发送端的端口
目的端口:指定了接受端的端口号
序号:指明了段在即将传输的段序列中的位置
确认号:规定成功收到段的序列号,确认序号包含发送确认的一端所期望收到的下一个序号
tcp偏移量:指定了段头的长度。段头的长度取决与段头选项字段中设置的选项
保留:指定了一个保留字段,以备将来使用
标志:syn、ack、psh、rst、urg、fin
syn: 表示同步
ack: 表示确认
psh: 表示尽快的将数据送往接收进程
rst: 表示复位连接
urg: 表示紧急指针
fin: 表示发送方完成数据发送
窗口:指定关于发送端能传输的下一段的大小的指令
校验和:校验和包含tcp段头和数据部分,用来校验段头和数据部分的可靠性
紧急:指明段中包含紧急信息,只有当u r g标志置1时紧急指针才有效
选项:指定了公认的段大小,时间戳,选项字段的末端,以及指定了选项字段的边界选项
2. tcp工作原理
- tcp连接建立:tcp的连接建立过程又称为tcp三次握手。首先发送方主机向接收方主机发起一个建立连接的同步(syn)请求;接收方主机在收到这个请求后向送方主机回复一个同步/确认(syn/ack)应答;发送方主机收到此包后再向接收方主机发送一个确认(ack),此时tcp连接成功建立;
- tcp连接关闭:发送方主机和目的主机建立tcp连接并完成数据传输后,会发送一个将结束标记置1的数据包,以关闭这个tcp连接,并同时释放该连接占用的缓冲区空间;
- tcp重置:tcp允许在传输的过程中突然中断连接,这称为tcp重置;
- tcp数据排序和确认:tcp是一种可靠传输的协议,它在传输的过程中使用序列号和确认号来跟踪数据的接收情况;
- tcp重传:在tcp的传输过程中,如果在重传超时时间内没有收到接收方主机对某数据包的确认回复,发送方主机就认为此数据包丢失,并再次发送这个数据包给接收方,这称为tcp重传;
- tcp延迟确认:tcp并不总是在接收到数据后立即对其进行确认,它允许主机在接收数据的同时发送自己的确认信息给对方。
- tcp数据保护(校验和):tcp是可靠传输的协议,它提供校验和计算来实现数据在传输过程中的完整性。
二、解码详解
要看懂tcp解码信息,就必须清楚知道tcp工作原理和tcp报头的相关字段信息。
下面我们就通过科来网络分析系统中的解码信息来认识tcp协议的报头。如下图。
图2 科来网络分析系统tcp解码信息
上图显示了tcp协议中报头中字段的详细信息,这里的解码信息完全和tcp报头结构相吻合,下面我们分别来介绍解码视图中的信息:
- 源端口:1041,偏移量为34,值为2个字节;
- 目标端口:5001,端口名为 complex-link,偏移量为36,值为2个字节;
- 序列号:tcp数据包序列号为148694863,偏移量38,值为4个字节;
- 确认号:确认号为387135032,偏移量为42,值为4个字节;
- tcp偏移量:tcp偏移量为5,偏移量为46,值为4位;
- 标志:psh和ack的值为1,这是一个确认包,收到的有效段立即发给应用,不要放入缓冲区;
- 窗口:表示接收端能够接收的下一段的大小64124;
- 校验和:校验和为0x10d4(正确),表示数据没有被修改和损坏,是完整的;
- 紧急指针:因为标志字段中urg标志位的值为0,所以这里无紧急指针;
- 无tcp选项:无选项内容。