协议分析 - TCP协议解码详解
作者:互联网
一、 TCP协议简介
TCP,全称Transfer Control Protocol,中文名为传输控制协议,它工作在OSI的传输层,提供面向连接的可靠传输服务。
TCP的工作主要是建立连接,然后从应用层程序中接收数据并进行传输。TCP采用虚电路连接方式进行工作,在发送数据前它需要在发送方和接收方建立一个连接,数据在发送出去后,发送方会等待接收方给出一个确认性的应答,否则发送方将认为此数据丢失,并重新发送此数据。
下面我们来介绍一下TCP的报头结构和相关工作原理:
1. TCP报头
TCP报头总长最小为20个字节,其报头结构如下图(图1)所示;
比特0 比特15 比特16 比特31
(图1 TCP报头结构)
源端口:指定了发送端的端口
目的端口:指定了接受端的端口号
序号:指明了段在即将传输的段序列中的位置
确认号:规定成功收到段的序列号,确认序号包含发送确认的一端所期望收到的下一个序号
TCP偏移量:指定了段头的长度。段头的长度取决与段头选项字段中设置的选项
保留:指定了一个保留字段,以备将来使用
标志:SYN、ACK、PSH、RST、URG、FIN
- SYN: 表示同步
- ACK: 表示确认
- PSH: 表示尽快的将数据送往接收进程
- RST: 表示复位连接
- URG: 表示紧急指针
- FIN: 表示发送方完成数据发送
窗口:指定关于发送端能传输的下一段的大小的指令
校验和:校验和包含TCP段头和数据部分,用来校验段头和数据部分的可靠性
紧急:指明段中包含紧急信息,只有当U R G标志置1时紧急指针才有效
选项:指定了公认的段大小,时间戳,选项字段的末端,以及指定了选项字段的边界选项
2. TCP工作原理
- TCP连接建立:TCP的连接建立过程又称为TCP三次握手。首先发送方主机向接收方主机发起一个建立连接的同步(SYN)请求;接收方主机在收到这个请求后向送方主机回复一个同步/确认(SYN/ACK)应答;发送方主机收到此包后再向接收方主机发送一个确认(ACK),此时TCP连接成功建立;
- TCP连接关闭:发送方主机和目的主机建立TCP连接并完成数据传输后,会发送一个将结束标记置1的数据包,以关闭这个TCP连接,并同时释放该连接占用的缓冲区空间;
- TCP重置:TCP允许在传输的过程中突然中断连接,这称为TCP重置;
- TCP数据排序和确认:TCP是一种可靠传输的协议,它在传输的过程中使用序列号和确认号来跟踪数据的接收情况;
- TCP重传:在TCP的传输过程中,如果在重传超时时间内没有收到接收方主机对某数据包的确认回复,发送方主机就认为此数据包丢失,并再次发送这个数据包给接收方,这称为TCP重传;
- TCP延迟确认:TCP并不总是在接收到数据后立即对其进行确认,它允许主机在接收数据的同时发送自己的确认信息给对方。
- TCP数据保护(校验和):TCP是可靠传输的协议,它提供校验和计算来实现数据在传输过程中的完整性。
二、 解码详解
要看懂TCP解码信息,就必须清楚知道TCP工作原理和TCP报头的相关字段信息。
下面我们就通过科来网络分析系统中的解码信息来认识TCP协议的报头。如下图(图2)
(图2 科来网络分析系统TCP解码信息)
上图显示了TCP协议中报头中字段的详细信息,这里的解码信息完全和TCP报头结构相吻合,下面我们分别来介绍解码视图中的信息:
1. 源端口:1041,偏移量为34,值为2个字节;
2. 目标端口:5001,端口名为 complex-link,偏移量为36,值为2个字节;
3. 序列号:TCP数据包序列号为148694863,偏移量38,值为4个字节;
4. 确认号:确认号为387135032,偏移量为42,值为4个字节;
5. TCP偏移量:TCP偏移量为5,偏移量为46,值为4位
6. 标志:PSH和ACK的值为1,这是一个确认包,收到的有效段立即发给应用,不要放入缓冲区
7. 窗口:表示接收端能够接收的下一段的大小64124。
8. 校验和:校验和为0x10D4(正确),表示数据没有被修改和损坏,是完整的。
9. 紧急指针:因为标志字段中URG标志位的值为0,所以这里无紧急指针
10. 无TCP选项:无选项内容
以上为实际抓取的一个TCP数据包,大家可以通过上述的方法学习TCP协议。
标签:协议,主机,解码,确认,TCP,发送,报头,连接 来源: https://blog.csdn.net/weixin_53815779/article/details/121046281