1、 TCP 协议解码详解成都科来软件有限公司 电话:028-85120922 Email:http:/ 传真:028-85120911 1 / 4协议分析 TCP 协议解码详解一、 TCP 协议简介TCP,全称 Transfer Control Protocol,中文名为传输控制协议,它工作在 OSI 的传输层,提供面向连接的可靠传输服务。TCP 的工作主要是建立连接,然后从应用层程序中接收数据并进行传输。TCP 采用虚电路连接方式进行工作,在发送数据前它需要在发送方和接收方建立一个连接,数据在发送出去后,发送方会等待接收方给出一个确认性的应答,否则发送方将认为此数据丢失,并重新发送此数据。下面
2、我们来介绍一下 TCP 的报头结构和相关工作原理:1. TCP 报头TCP 报头总长最小为 20 个字节,其报头结构如下图(图 1)所示;比特 0 比特 15 比特 16 比特 31源端口(16) 目的端口( 16)序列号(32 )确认号(32 )TCP 偏移量(4)保留(6 ) 标志( 6)窗口( 16)校验和(16) 紧急( 16)选项(0 或 32)数据(可变)(图 1 TCP 报头结构)源端口:指定了发送端的端口目的端口:指定了接受端的端口号序号:指明了段在即将传输的段序列中的位置确认号:规定成功收到段的序列号,确认序号包含发送确认的一端所期望收到的下一个序号TCP偏移量:指定了段头的
3、长度。段头的长度取决与段头选项字段中设置的选项保留:指定了一个保留字段,以备将来使用TCP 协议解码详解成都科来软件有限公司 电话:028-85120922 Email:http:/ 传真:028-85120911 2 / 4标志:SYN、ACK、PSH、RST、URG、FINSYN: 表示同步ACK: 表示确认PSH: 表示尽快的将数据送往接收进程RST: 表示复位连接URG: 表示紧急指针FIN: 表示发送方完成数据发送窗口:指定关于发送端能传输的下一段的大小的指令校验和:校验和包含TCP段头和数据部分,用来校验段头和数据部分的可靠性紧急:指明段中包含紧急信息,只有当U R G标志置1时紧
4、急指针才有效选项:指定了公认的段大小,时间戳,选项字段的末端,以及指定了选项字段的边界选项2. TCP 工作原理 TCP 连接建立:TCP 的连接建立过程又称为 TCP 三次握手。首先发送方主机向接收方主机发起一个建立连接的同步(SYN)请求;接收方主机在收到这个请求后向送方主机回复一个同步/确认(SYN/ACK)应答;发送方主机收到此包后再向接收方主机发送一个确认(ACK) ,此时 TCP 连接成功建立; TCP 连接关闭:发送方主机和目的主机建立 TCP 连接并完成数据传输后,会发送一个将结束标记置 1 的数据包,以关闭这个 TCP 连接,并同时释放该连接占用的缓冲区空间; TCP 重置:
5、TCP 允许在传输的过程中突然中断连接,这称为 TCP 重置; TCP 数据排序和确认:TCP 是一种可靠传输的协议,它在传输的过程中使用序列号和确认号来跟踪数据的接收情况; TCP 重传:在 TCP 的传输过程中,如果在重传超时时间内没有收到接收方主机对某数据包的确认回复,发送方主机就认为此数据包丢失,并再次发送这个数据包给接收方,这称为 TCP 重传; TCP 延迟确认:TCP 并不总是在接收到数据后立即对其进行确认,它允许主机在接收数据的同时发送自己的确认信息给对方。 TCP 数据保护(校验和):TCP 是可靠传输的协议,它提供校验和计算来实现数据在传输过程中的完整性。二、 解码详解要看
6、懂 TCP 解码信息,就必须清楚知道 TCP 工作原理和 TCP 报头的相关字段信息。下面我们就通过科来网络分析系统中的解码信息来认识 TCP 协议的报头。如下图(图 2) 。TCP 协议解码详解成都科来软件有限公司 电话:028-85120922 Email:http:/ 传真:028-85120911 3 / 4(图 2 科来网络分析系统 TCP 解码信息)上图显示了 TCP 协议中报头中字段的详细信息,这里的解码信息完全和 TCP 报头结构相吻合,下面我们分别来介绍解码视图中的信息:1. 源端口:1041 ,偏移量为 34,值为 2 个字节;2. 目标端口:5001 ,端口名为 comp
7、lex-link,偏移量为 36,值为 2 个字节;3. 序列号:TCP 数据包序列号为 148694863,偏移量 38,值为 4 个字节;4. 确认号:确认号为 387135032,偏移量为 42,值为 4 个字节;5. TCP 偏移量:TCP 偏移量为 5,偏移量为 46,值为 4 位6. 标志:PSH 和 ACK 的值为 1,这是一个确认包,收到的有效段立即发给应用,不要放入缓冲区7. 窗口:表示接收端能够接收的下一段的大小 64124。8. 校验和:校验和为 0x10D4(正确) ,表示数据没有被修改和损坏,是完整的。9. 紧急指针:因为标志字段中 URG 标志位的值为 0,所以这里无紧急指针10. 无 TCP 选项:无选项内容以上为实际抓取的一个 TCP 数据包,大家可以通过上述的方法学习 TCP 协议。TCP 协议解码详解成都科来软件有限公司 电话:028-85120922 Email:http:/ 传真:028-85120911 4 / 4成都科来软件有限公司2006 年 6 月
