[计算机]分析tcp交互.doc

分析文档 --调用socketAPI的函数TCP的交互 1.项目名称： 通过抓包,分析调用socketAPI 的函数的时候,TCP层完成了哪些交互 2.分析描述： 本次以本机上的简单的聊天程序为测试程序，使用wireshark工具来说明分析。 3.tcp标志位解析： *SYN: 同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端(一般是客户 端)的初始序列编号。在这里，可以把 TCP序列编号看作是一个范围从0到4，294，967，295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。在TCP报头中的 序列编号栏包括了TCP分段中第一个字节的序列编号。 *ACK：确认标志 确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1，Figure-1)为下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。 *RST：复位标志 复位标志有效。用于复位相应的TCP连接。 *URG：紧急标志 紧急(The urgent pointer) 标志有效。紧急标志置位， *PSH：推标志 该标志置位时，接收端不将该数据进行队列处理，而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时，该标志总是置位的。 *FIN：结束标志 带有该标志置位的数据包用来结束一个TCP回话，但对应端口仍处于开放状态，准备接收后续数据。 .TCP的几个状态对于我们分析所起的作用。在TCP层，有个FLAGS字段，这个字段有以下几个标识：SYN, FIN, ACK, PSH, RST, URG.其中，对于我们日常的分析有用的就是前面的五个字段。它们的含义是：SYN表示建立连接，FIN表示关闭连接，ACK表示响应，PSH表示有 DATA数据传输，RST表示连接重置。其中，ACK是可能与SYN，FIN等同时使用的，比如SYN和ACK可能同时为1，它表示的就是建立连接之后的 响应，如果只是单个的一个SYN，它表示的只是建立连接。TCP的几次握手就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的，因为前者 表示的是建立连接，而后者表示的是断开连接。RST一般是在FIN之后才会出现为1的情况，表示的是连接重置。一般地，当出现FIN包或RST包时，我们 便认为客户端与服务器端断开了连接；而当出现SYN和SYN＋ACK包时，我们认为客户端与服务器建立了一个连接。PSH为1的情况，一般只出现在 DATA内容不为0的包中，也就是说PSH为1表示的是有真正的TCP数据包内容被传递。TCP的连接建立和连接关闭，都是通过请求－响应的模式完成的。 4.分析过程： tcp的建立分为三个阶段连接建立，数据传输和连接释放 (1) 开始我们的服务器端调用accept()函数等待连接的建立，而在客户端用connect()函数发起连接的建立。这样tcp连接实现。 　 （a）客户端的 TCP 向 服务器发出连接请求报文段，其首部中的同步比特 SYN 应置为 1，并选择序号 x，表明传送数据时的第一个数据字节的序号是 x。如下图： 　　（b）服务器的TCP 收到连接请求报文段后，如同意，则发回确认，如图1-1。 而如果服务器端没有监听或不存在，也会收到响应包，告诉客户端服务器没有监听，如图1-2　　（c）服务器在确认报文段中应将 SYN 置为 1，其确认号应为 x + 1，同时也为自己选择序号 y。如图1-1。 如果服务器没有监听，或者服务器不存在，则会收到将Reset置为1的包，如图1-2. 图（1-1） 图（1-2）　　（d）客户收到此报文段后，向服务器给出确认，其确认号应为 y + 1。如图1-3： 图（1-3）　　（e）客户的TCP 通知上层应用进程，连接已经建立。　　（f）当运行服务器的TCP 确认后，连接已经建立。 （g）这个过程就是我们所说的tcp三次握手 （2）然后我们调用send(),recv()函数发送和接收数据，这样就可以完成简单的数据传输。 （a）连接建立以后，发送数据，如果对端接收，发送报文，在报文段中将 Push 置为 1，我们可以看到包中有我们的数据，以及数据的长度，如图(2-1)。 如果客户连接断开（异常退出或正常退出），则丢弃分段，并RST,如图（2-2）。 图（2-1）