实验报告用Ethereal捕获并分析TCP数据包.docVIP

用Ethereal捕获并分析数据包 学院：计算机工程学院 专 业：计算机科学与技术 姓名：张徽 学 号：2008404010135 TCP报文格式分析 TCP提供一?种面向连接的、全双工的、可靠的字节流服务。 在一个TCP连接中，仅有两方进行彼此通信。广播和多播不能用于TCP。 TCP的接收端必须丢弃重复的数据。 TCP对字节流的内容不作任何解释。对字节流的解释由TCP连接双方的应用层解释。 TCP通过下列方式来提供可靠性： 应用数据被分割成TCP认为最适合发送的数据块，称为报文段或段。 TCP协议屮采用自适应的超时及重传策略。 TCP可以对收到的数据进行重新排序，将收到的数据以正确的顺序交给丿应用层。 TCP的接收端必须丢弃重复的数据。 TCP还能提供流屋控制。 发送端 接收端 发送TCP报文段 TCP数据报的发送过程 TCP报文段格式 20字节的 固定首部 20字节的 固定首部 TCP报文段 TCP首部 TCP数据部分 发送在前 - ?? IP首部 V IP数据部分丿 20图TCP数据报的格式 20 源端口：占T6比特（2个字节），分段的端口号； 目的端口：占16比特（2个字节），分段的目的端口号；端口是传输层与应用层的服务 接口。传输层的复用和分用功能都要通过端口才能实现； 序号字段：占4字节。TCP连接中传送的数据流中的每一个字节都编上一个序号。序 号字段的值则指的是木报文段所发送的数据的第一个字节的序号。 确认号字段：占4字节，是期望收到対方的下一个报文段的数据的笫一个字节的序号。 数据偏移：占4比特，它指出TCP报文段的数据起始处距离CP报文段的起始处有多 远。“数据偏移的单位不是字节而是32bit字（4字节为计算单位）。 保留字段：占6bit,保留为今后使用，但1=1前应置为0。 编码位： 编码位 含义 紧急比特URG 当URG=1时，表明紧急指针字段有效。它 告诉系统此报文段小有紧急数据，应尽快传 送（相当于高优先级的数据）。 确认比特ACK 只有当ACK=1时确认号字段才有效。当 ACK=0吋，确认号无效。 推送比特PSH 当PSH=1时，表示请求急迫操作，即分段一 到马上就发送应用程序而不等到接收缓冲区 满时才发送应用程序。 复位比特RST (Reset) 当RST=1时,表明TCP连接中出现严重差 错（如山于主机崩溃或其他原因），必须释放 连接，然后再重新建立运输连接。 同步比特SYN 同步比特SYN置为1,就表示这是一个连接 请求或连接接受报文。 复位比特RST (Reset) 当RST=1时,表明TCP连接中出现严重差 错（如由丁?主机崩溃或其他原因），必须释放 连接，然后再重新建立运输连接。 终止比特FIN 用来释放一个连接。当HN = 1吋，表明此报 文段的发送端的数据已发送完毕，并要求释 放运输连接。 ? 窗口字段：占2字节。窗口字段用來控制对方发送的数据量，单位为字节。TCP连接 的一端根据设宜的缓存空间人小确定自己的接收窗口人小,然后通知对方以确定对方的 发送窗口的上限。 检验和：r!i 2字节。检验和字段检验的范围包括首部和数据这两部分。在计算检验和时, 要在TCP报文段的前面加上12字节的伪首部。 紧急指针字段：占16bit。紧急指针指出在本报文段中的紧急数据的最后一个字节的序 号。 选项字段：长度可变。TCP首部可以有多达4（）字节的可选信息，用于把附加信息传递 给终点，或用来对齐其它选项。 填充字段：这是为了使整个首部长度是4字节的整数倍。 （以上是理论分析，部分源自互联网和课本，下面来通过抓包软件（Ethereal）捕获TCP数据报具体分析，亲身体会具体是否和理论相同，以下纯属实验分析所得，绝无原样抄袭！） 具体实验分析如下: 1 ?协议数据包窗口 fto.- Fme Souk Destratm Protral Info 1 0.000000 192.168.8.124 1.59.22.255 TCP 1987 1W90 i.^K] 5eq=0 Ack=0 Min=65535 Len=0 TSV=158592 TSER=2286Q5 SLE=1428 SRE=4284 图TCP数据包 具体分析如下： 捕获的数据包默认按照时间的顺序全部显示在窗口中，窗口的选项从左到右分別是：包 序号(NO.)、时间(Time,单位为秒)、数据包的源IP地址(Source).数据包的目的IP 地址(Destination)、协议类型(Protocol) ＞包信息概述(Info)。 上述包分析如下： 包号是1;当前包到达时间距离笫一个包到达的时间是0. 000000秒(当前包就是第一 个到达)；包的源IP地址是192. 168. 8. 124；包的目的IP地址是1.59. 22. 255,由于是