一. TCP/IP協定族
TCP/IP是一個協定族,通常分不同層次進行開發,每個層次負責不同的通信功能。
包含以下四個層次:
1. 鍊路層,
也稱作資料鍊路層或者網絡接口層,
通常包括作業系統中的裝置驅動程式和計算機中對應的網絡接口卡。
它們一起處理與電纜(或其他任何傳輸媒介)的實體接口細節。
2. 網絡層,
也稱作網際網路層,處理分組在網絡中的活動,例如分組的選路。
網絡層協定包括IP協定(網際協定)、ICMP協定(Internet網際網路控制封包協定),
以及IGMP協定(Internet組管理協定)。
3. 運輸層
主要為兩台主機上的應用程式提供端到端的通信。
在TCP/IP協定族中,有兩個互不相同的傳輸協定:TCP(傳輸控制協定)和UDP(使用者資料報協定)。
TCP為兩台主機提供高可靠性的資料通信。
他所作的工作包括把應用程式交給它的資料分成合适的小塊交給下面的網絡層,确認接收到的分組,
設定發送最後确認分組的逾時時鐘等。由于運輸層提供了高可靠性的端到端通信,是以應用層可以忽略所有這些細節。
而另一方面,
UDP則為應用層提供一種非常簡單的服務。它隻是把稱作資料報的分組從一台主機發送到另一台主機,
但并不保證該資料報能到達另一端。任何必須的可靠性必須由應用層來提供。
4. 應用層
負責處理特定的應用程式細節。
包括Telnet(遠端登入)、FTP(檔案傳輸協定)、SMTP(簡單郵件傳送協定)以及SNMP(簡單網絡管理協定)等。
wireshark抓到的包與對應的協定層如下圖所示:
1. Frame: 實體層的資料幀概況
2. Ethernet II: 資料鍊路層以太網幀頭部資訊
3. Internet Protocol Version 4: 網際網路層IP標頭部資訊
4. Transmission Control Protocol: 傳輸層的資料段頭部資訊,此處是TCP
5. Hypertext Transfer Protocol: 應用層的資訊,此處是HTTP協定
二. TCP協定
TCP是一種面向連接配接(連接配接導向)的、可靠的基于位元組流的傳輸層通信協定。
TCP将使用者資料打包成封包段,它發送後啟動一個定時器,另一端收到的資料進行确認、對失序的資料重新排序、丢棄重複資料。
TCP的特點有:
1. TCP是面向連接配接的運輸層協定
2. 每一條TCP連接配接隻能有兩個端點,每一條TCP連接配接隻能是點對點的
3. TCP提供可靠傳遞的服務
4. TCP提供全雙工通信。資料在兩個方向上獨立的進行傳輸。
是以,連接配接的每一端必須保持每個方向上的傳輸資料序号。
5. 面向位元組流。
面向位元組流的含義:雖然應用程式和TCP互動是一次一個資料塊,但TCP把應用程式交下來的資料看作是一連串的無結構的位元組流
TCP封包首部,如下圖所示:
1. 源端口号: 資料發起者的端口号,16bit
2. 目的端口号: 資料接收者的端口号,16bit
3. 序号: 32bit的序列号,由發送方使用
4. 确認序号: 32bit的确認号,
是接收資料方期望收到發送方的下一個封包段的序号,
是以确認序号應當是上次已成功收到資料位元組序号加1。
5. 首部長度: 首部中32bit字的數目,可表示15*32bit=60位元組的首部。
一般首部長度為20位元組。
6. 保留: 6bit, 均為0
7. 緊急URG: 當URG=1時,表示封包段中有緊急資料,應盡快傳送。
8. 确認比特ACK: ACK = 1時代表這是一個确認的TCP包,取值0則不是确認包。
9. 推送比特PSH: 當發送端PSH=1時,接收端盡快的傳遞給應用程序。
10. 複位比特(RST):當RST=1時,表明TCP連接配接中出現嚴重差錯,必須釋放連接配接,再重建立立連接配接。
11. 同步比特SYN: 在建立連接配接是用來同步序号。
SYN=1, ACK=0表示一個連接配接請求封包段。
SYN=1,ACK=1表示同意建立連接配接。
12. 終止比特FIN: FIN=1時,表明此封包段的發送端的資料已經發送完畢,并要求釋放傳輸連接配接。
13. 視窗: 用來控制對方發送的資料量,通知發放已确定的發送視窗上限。
14. 檢驗和: 該字段檢驗的範圍包括首部和資料這兩部分。由發端計算和存儲,并由收端進行驗證。
15. 緊急指針: 緊急指針在URG=1時才有效,它指出本封包段中的緊急資料的位元組數。
16. 選項: 長度可變,最長可達40位元組
wireshark捕獲到的TCP包中的每個字段如下圖所示:
三. TCP三向交握
TCP建立連接配接時,會有三次握手過程,如下圖所示,
wireshark截獲到了三次握手的三個資料包。
第四個包才是http的,說明http的确是使用TCP建立連接配接的。
下面來逐漸分析三次握手過程:
第一次握手:
用戶端向伺服器發送連接配接請求包,标志位SYN(同步序号)置為1,序号為X=0
第二次握手:
伺服器收到用戶端發過來封包,由SYN=1知道用戶端要求建立聯機。
向用戶端發送一個SYN和ACK都置為1的TCP封包,設定初始序号Y=0,
将确認序号(Acknowledgement Number)設定為客戶的序列号加1,即
X+1 = 0+1=1,
如下圖:
第三次握手:
用戶端收到伺服器發來的包後檢查确認序号(Acknowledgement Number)是否正确,
即第一次發送的序号加1(X+1=1)。以及标志位ACK是否為1。
若正确,伺服器再次發送确認包,ACK标志位為1,SYN标志位為0。
确認序号(Acknowledgement Number)=Y+1=0+1=1,發送序号為X+1=1。
用戶端收到後确認序号值與ACK=1則連接配接建立成功,可以傳送資料了。
四. TCP四次揮手
TCP斷開連接配接時,會有四次揮手過程,
如下圖所示,wireshark截獲到了四次揮手的四個資料包。
下面來逐漸分析四次揮手過程:
第一次揮手:
用戶端給伺服器發送TCP包,用來關閉用戶端到伺服器的資料傳送。
将标志位FIN和ACK置為1,序号為X=1,确認序号為Z=1。
伺服器收到FIN後,發回一個ACK(标志位ACK=1),确認序号為收到的序号加1,即X=X+1=2。
序号為收到的确認序号=Z。
伺服器關閉與用戶端的連接配接,發送一個FIN。
标志位FIN和ACK置為1,序号為Y=1,确認序号為X=2。
用戶端收到伺服器發送的FIN之後,發回ACK确認(标志位ACK=1),确認序号為收到的序号加1,即Y+1=2。
序号為收到的确認序号X=2。