wireshark抓包图解TCP三次握手四次挥手详解.docxVIP

页脚 页脚 wireshark抓包图解TCP三次握手/四次挥手详解 一.TCP/IP协议族 TCP/IP是一个协议族，通常分不同层次进行开发，每个层次负责不同的通 信功能。包含以下四个层次： .链路层，也称作数据链路层或者网络接口层，通常包括操作系统中的设备驱 动程序和计算机中对应的网络接口卡。 它们一起处理与电缆（或其他任何传输媒 介）的物理接口细节。 .网络层，也称作互联网层，处理分组在网络中的活动，例如分组的选路。网 络层协议包括IP协议（网际协议）、ICMP协议（Internet互联网控制报文协议）, 以及IGMP协议（Internet组管理协议）。 .运输层主要为两台主机上的应用程序提供端到端的通信。在 TCP/IP协议族 中，有两个互不相同的传输协议：TCP （传输控制协议）和UDP （用户数据报协 议）。TCP为两台主机提供高可靠性的数据通信。 他所作的工作包括把应用程序 交给它的数据分成合适的小块交给下面的网络层， 确认接收到的分组，设置发送 最后确认分组的超时时钟等。由于运输层提供了高可靠性的端到端通信，因此应 用层可以忽略所有这些细节。而另一方面，UDP则为应用层提供一种非常简单 的服务。它只是把称作数据报的分组从一台主机发送到另一台主机， 但并不保证 该数据报能到达另一端。任何必须的可靠性必须由应用层来提供。 .应用层负责处理特定的应用程序细节。包括 Telnet （远程登录）、FTP （文件 传输协议）、SMTP （简单邮件传送协议）以及SNMP （简单网络管理协议）等。 Id x第九10. SS.67. 1262. 5010500014.24. Id x第九 10. SS.67. 126 2. 5010500014.24. 总” N. SCI￡2400 1仇2机打一卦 ；口 工厂/而口 524: b/Les on !「? (6477 匕而《1. 09 ?—i^- j Ettxrntx It, src： i 卜］? Hm-1 Protocol wrslwi % Src t ?IW T ■?* TTinsvfislon control Protocol, src Fort: j Hypers kl?r Protocol Frame:物理层的数据帧概况 Ethernet II:数据链路层以太网帧头部信息 Internet Protocol Version 4: 互联网层 IP 包头部信息 Transmission Control Protocol: 传输层的数据段头部信息，此处是 TCP Hypertext Transfer Protocol: 应用层的信息，止匕处是HTTP协议 二.TCP协议 TCP是一种面向连接（连接导向）的、可靠的基于字节流的传输层通信协 议。TCP将用户数据打包成报文段，它发送后启动一个定时器，另一端收到的数 据进行确认、对失序的数据重新排序、丢弃重复数据。 TCP的特点有： TCP是面向连接的运输层协议 每一条TCP连接只能有两个端点，每一条 TCP连接只能是点对点的 TCP提供可靠交付的服务 TCP提供全双工通信。数据在两个方向上独立的进行传输。因此，连接的每 一端必须保持每个方向上的传输数据序号。 面向字节流。面向字节流的含义：虽然应用程序和 TCP交互是一次一个数据 块，但TCP把应用程序交下来的数据仅仅是一连串的无结构的字节流 TCP报文首部，如下图所示： 0 15 31死产代 0 15 31 死产代甘部 .源端口号：数据发起者的端口号，16bit .目的端口号：数据接收者的端口号，16bit .序号：32bit的序列号，由发送方使用 .确认序号：32bit的确认号，是接收数据方期望收到发送方的下一个报文段的 序号，因此确认序号应当是上次已成功收到数据字节序号加 1。 .首部长度：首部中32bit字的数目，可表示15*32bit=60字节的首部。一般 首部长度为20字节。 .保留：6bit,均为0 .紧急URG:当URG=1时，表示报文段中有紧急数据，应尽快传送。 .确认比特ACK: ACK = 1时代表这是一个确认的TCP包，取值0则不是确 认包。 .推送比特PSH:当发送端PSH=1时，接收端尽快的交付给应用进程。 .复位比特（RST :当RST=1时，表明TCP连接中出现严重差错，必须释放 连接，再重新建立连接。 .同步比特SYN:在建立连接是用来同步序号。SYN=1, ACK=0表示一个连 接请求报文段。SYN=1, ACK=1表示同意建立连接。 .终止比特FIN: FIN=1时，表明此报文段的发送端的数据已经发送完毕，并 要求释放传输连接。 .窗口：用来控制对方发送的数据量，通知发放已确定的发送窗口上限。 .检验和：该字段检验的范围包括首部和数据这两部分。