协议分析 － TCP协议解码详解.docVIP

协议分析 － TCP协议解码详解 TCP协议简介 TCP，全称Transfer Control Protocol，中文名为传输控制协议，它工作在OSI的传输层，提供面向连接的可靠传输服务。 TCP的工作主要是建立连接，然后从应用层程序中接收数据并进行传输。TCP采用虚电路连接方式进行工作，在发送数据前它需要在发送方和接收方建立一个连接，数据在发送出去后，发送方会等待接收方给出一个确认性的应答，否则发送方将认为此数据丢失，并重新发送此数据。 下面我们来介绍一下TCP的报头结构和相关工作原理： TCP报头 TCP报头总长最小为20个字节，其报头结构如下图（图1）所示； 　　比特0 比特15 比特16 比特31 源端口（16） 目的端口（16） 序列号（32） 确认号（32） TCP偏移量（4） 保留（6） 标志（6） 窗口（16） 校验和（16） 紧急（16） 选项（0或32） 数据（可变） （图1　TCP报头结构） 源端口：指定了发送端的端口 目的端口：指定了接受端的端口号 序号：指明了段在即将传输的段序列中的位置 确认号：规定成功收到段的序列号，确认序号包含发送确认的一端所期望收到的下一个序号 TCP偏移量：指定了段头的长度。段头的长度取决与段头选项字段中设置的选项 保留：指定了一个保留字段，以备将来使用 标志：SYN、ACK、PSH、RST、URG、FIN SYN：?表示同步 ACK： 表示确认 PSH： 表示尽快的将数据送往接收进程 RST： 表示复位连接 URG： 表示紧急指针 FIN： 表示发送方完成数据发送 窗口：指定关于发送端能传输的下一段的大小的指令 校验和：校验和包含TCP段头和数据部分，用来校验段头和数据部分的可靠性 紧急：指明段中包含紧急信息，只有当U R G标志置1时紧急指针才有效 选项：指定了公认的段大小，时间戳，选项字段的末端，以及指定了选项字段的边界选项 TCP工作原理 TCP连接建立：TCP的连接建立过程又称为TCP三次握手。首先发送方主机向接收方主机发起一个建立连接的同步（SYN）请求；接收方主机在收到这个请求后向送方主机回复一个同步/确认（SYN/ACK）应答；发送方主机收到此包后再向接收方主机发送一个确认（ACK），此时TCP连接成功建立； TCP连接关闭：发送方主机和目的主机建立TCP连接并完成数据传输后，会发送一个将结束标记置1的数据包，以关闭这个TCP连接，并同时释放该连接占用的缓冲区空间； TCP重置：TCP允许在传输的过程中突然中断连接，这称为TCP重置； TCP数据排序和确认：TCP是一种可靠传输的协议，它在传输的过程中使用序列号和确认号来跟踪数据的接收情况； TCP重传：在TCP的传输过程中，如果在重传超时时间内没有收到接收方主机对某数据包的确认回复，发送方主机就认为此数据包丢失，并再次发送这个数据包给接收方，这称为TCP重传； TCP延迟确认：TCP并不总是在接收到数据后立即对其进行确认，它允许主机在接收数据的同时发送自己的确认信息给对方。 TCP数据保护（校验和）：TCP是可靠传输的协议，它提供校验和计算来实现数据在传输过程中的完整性。 解码详解 要看懂TCP解码信息，就必须清楚知道TCP工作原理和TCP报头的相关字段信息。 下面我们就通过科来网络分析系统中的解码信息来认识TCP协议的报头。如图（科来网络分析系统TCP解码信息） 上图显示了TCP协议中报头中字段的详细信息，这里的解码信息完全和TCP报头结构相吻合，下面我们分别来介绍解码视图中的信息： 源端口：1041，偏移量为34，值为2个字节；目标端口：5001，端口名为 complex-link,偏移量为36，值为2个字节；序列号：TCP数据包序列号为1座机电话号码，偏移量38，值为4个字节；确认号：确认号为座机电话号码2，偏移量为42，值为4个字节；TCP偏移量：TCP偏移量为5，偏移量为46，值为4位标志：PSH和ACK的值为1，这是一个确认包，收到的有效段立即发给应用，不要放入缓冲区窗口：表示端能的下一段的大小64124校验和：校验和为0x10D4（正确），表示数据没有被修改和损坏，是完整的紧急指针：因为标志字段中URG标志位的值为0，所以这里无紧急指针无TCP选项：无选项内容 以上为实际抓取的一个TCP数据包，大家可以通过上述的方法学习TCP协议。 成都科来软件有限公司 2006年6月 成都科来软件有限公司 电话：座机电话号码 Email：sales@ 传真：座机电话号码 support@ 1 / 4