TCP 报文分析

已于 2024-02-02 08:49:22 修改
阅读量6.8k 收藏 89
点赞数 17
分类专栏: 网络 术(知识点) 文章标签: 网络协议 TCP
于 2021-06-06 22:35:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LG772EF/article/details/117637888
版权

文章目录

TCP数据格式

在这里插入图片描述

握手通讯过程

在这里插入图片描述

握手通讯,完成事宜:

  1. 建立通讯;
  2. 确认双方消息发送的sequence number;
  3. 确认window size;

握手-抓包分析

TCP握手的三个报
在这里插入图片描述

包1,发送方请求建立连接

包括信息:
请求建立连接(SYN = 1, ACK = 0)
发送方Sequence Number:189215271
Window Size(协商值): 64240 * 2^8。 (window * 2 ^ Window scale)

在这里插入图片描述

包2,服务方同意建立连接

包括信息:

  1. 同意建立连接(SYN = 1, ACK = 1)
  2. 服务方Sequence Number:240050740
  3. Window Size(协商值):29200 * 2^7
    在这里插入图片描述
包3,发送方确认建立连接

包含信息:

  1. 连接建立确认(ACK=1)
  2. 确认Window Size:1029 * 256

在这里插入图片描述

挥手通讯过程

在这里插入图片描述

挥手–抓包分析

在这里插入图片描述

包1-- 发起方请求断开连接

在这里插入图片描述

包2 – 接收方接收确认

在这里插入图片描述

包3 – 接收方确认断开连接

在这里插入图片描述

包4 – 请求方断开确认

在这里插入图片描述

header格式分析

感受:这个协议设计的很巧妙,接收双方在数据传输过程中自动完成了协商的过程。借助TCP头部信息完成整个协商过程。
包括接收方数据接收能力、接收进度、是否丢包、网络是否拥塞等。
已保证网络整体的传输效率(防止轻载或者过载)最优。

源端口和目的端口

  • Source port:源端口;
  • Destination port:目标端口。

序列号和确认号

  • Sequence Number:序列号字段。用于标识本报文段中所发送数据的第一个字节的编号。TCP传输中,每个字节都会按顺序编号。如果SYN标记为1时(表示发送方请求建立连接),这个序列号是初始序列值;如果SYN标记不为1,表示是当前数据分段的第一个字母的序列号;
  • Acknowledgment Number (Ack Number):TCP确认号。表示接收方期望接收的下一个报文段的第一个字节数据的编号。即编号为ack-1以及之前的字节均已收到。

数据偏移字段

  • Header Length:TCP首部长度;数据偏移指数据段中“数据”部分起始处距离TCP数据段起始处的字节偏移量。

保留字段

  • Reserved:保留字段

标志位字段

  • CWR (Congestion Window Reduce):拥塞窗口减少标志,用来表明它接收到了设置ECE标志的TCP包。并且,发送方接收到消息之后,通过减少发送窗口的大小来降低发送速率;
  • ECE(ECN Echo):用来在TCP三次握手时表明一个TCP端是具备ECN功能的;
  • URG (Urgent):表示本报文段中发送的数据是否包含紧急数据;
  • ACK:表示前面的确认号字段是否有效。ACK=1时表示有效;
  • PSH (Push) : 告诉对方接收到该报文后是否立即把数据推送给上层;
  • RST:表示是否重置连接。如果RST=1,说明TCP连接出现了严重错误(如主机崩溃),必须释放连接,然后再重新建立连接;
  • SYN:在建立连接时使用,用来同步序号。当SYN=1,ACK=0时,表示这是一个请求建立连接的报文段;当SYN=1,ACK=1时,表示对方同意建立连接。SYNC=1时,说明这是一个请求建立连接或者同意建立连接的报文,只有前两次握手中SYN才为1;
  • FIN:标记数据是否发送完成。如果FIN=1,表示数据已经发送完成,可以断开连接;

窗口大小字段

  • Window Size:表示从Ack Number开始还可以接收多少字节,也表示当前接收端的接收窗口还有多少剩余空间。该字段可以用于TCP的流量控制。

TCP校验和字段

  • 校验位(TCP Checksum):用于确认传输的数据是否损坏。

紧急指针字段

  • 紧急指针(Urgent Pointer):仅当前面的URG控制位为1时才有意义。它指出本数据段中为紧急数据的字节数。

可选项字段

  • 选型(Option):长度不定,当必须是32bits的整数倍。

协商过程理解

基于header,yy下通讯中的协商过程
在这里插入图片描述

参考资料

https://coolshell.cn/articles/11564.html
https://coolshell.cn/category/netsecurity
window scale参数说明: https://blog.csdn.net/s493197604/article/details/104823943

附*系列文章索引

整理起因
报文分析
报文格式解读
握手+挥手过程状态变化分析
滑动窗口介绍
可靠数据传输原理
拥塞控制
网络异常案例(123456
结束语

【随风飘流】
关注
  • 17
    点赞
  • 89
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
TCP报文格式详解
海阔天空sky的博客
02-27 4万+
TCP报文TCP层传输的数据单元,也叫报文段。 端口号:用来标识同一台计算机的不同的应用进程。 源端口:源端口和IP地址的作用是标识报文的返回地址。 目的端口:端口指明接收方计算机上的应用程序接口。 TCP报头中的源端口号和目的端口号同IP数据报中的源IP与目的IP唯一确定一条TCP连接。 序号和确认号:是TCP可靠传输的关键部分。序号是本报文段发送的数据组的第一个字节的序号。
TCP报文分析器源码
07-15
原题是某著名大学的计算机网络的毕业作业TCP Traffic Analysis,实现了通过分析pcap日志来获得连接的详细信息。使用VS+visualGDB编写,当然也可以直接拿源码到linux上编译运行
WireShark抓包分析TCP三次握手过程,TCP报文解析
wangyuxiang946的博客
09-20 2万+
使用WireShark工具抓取TCP协议三次握手的数据包,分析TCP三次握手过程,分析TCP报文中各个字段的作用。
计算机网络协议TCP数据报的分析
愿你饱经冷暖,仍保纯真
02-02 5410
一、TCP协议的特点 TCP是面向连接的运输层协议;即应用程序在使用TCP协议通信之前,要先建立TCP连接,通信结束后必须释放已建立的TCP连接 每一条TCP连接只能有两个端点;即TCP是点对点(一对一)的通信 TCP提供全双工通信;即TCP的接收端和发送端都设有缓存,用来临时存放双方的通信数据;在发送时,应用程序将数据传送给TCP缓存后就可以做自己的事,TCP选择合适的时间把数据发送出去;...
【计算机网络】TCP报文详解
最新发布
Lin5200000的博客
06-13 1455
其实协议的形式都是一个结构化的数据,TCP协议也不例外。一起来看看TCP协议的报头是怎么样的。以上就是TCP报头,实际上是一个结构化的数据,也就是一个结构体。其中16位源端口号,就是你当前发送报文的端口号。目的端口号则是目标主机的端口号。这也就是我们在用accept时,能够获取连接套接字的同时,还能获取到对端主机的端口号(ip也获取到了,这个在网络层的时候解释)。而目的端口号也很好理解,因为端口号能够确定一台主机中唯一的一个进程。当你的报文被发送到对端主机的时候,就能够通过端口号去锁定对应的PCB进程。
TCP 协议(一)报文结构
cliffordl的专栏
07-07 6103
TCP 提供面向连接的通信传输,面向连接是指在传送数据之前必须先建立连接,数据传送完成后要释放连接。无论哪一方向另一方发送数据之前,都必须先在双方之间建立一条连接。在TCP/IP协议中,TCP协议提供可靠的连接服务,连接是通过三次握手进行初始化的。同时由于TCP协议是一种面向连接的、可靠的、基于字节流的运输层通信协议,TCP是全双工模式,所以需要四次挥手关闭连接。
TCP 报文各字段解析
challenglistic的博客
08-21 4769
TCP 报文各字段解析
TCP协议详解(TCP报文、三次握手、四次挥手、TIME_WAIT状态、滑动窗口、拥塞控制、粘包问题、状态转换图)
G
05-29 1170
文章目录 一、TCP报文(标准长度20字节) 二、三次握手 1、半连接、半打开、半关闭状态 2、SYN flood攻击 3、为什么需要三次握手? 4、在三次握手过程中,如果服务器一直收不到客户端的ack会发生什么? 5、初始序列号Seq为什么要随机初始化? 三、四次挥手 1、为什么建立连接是三次握手,而关闭连接却是四次挥手呢? 2、CLOSE_WAIT状态有什么影...
ModbusTCP协议报文详细分析
08-24
ModbusTCP协议报文详细分析是一种基于TCP/IP协议的Modbus协议实现,ModbusTCP协议报文格式与ModbusUDP协议报文格式相同,唯一的区别在于ModbusTCP协议使用TCP协议,而ModbusUDP协议使用UDP协议。ModbusTCP协议报文...
Internet协议分析-TCP报文分析
04-23
Internet协议分析-TCP报文分析 网络环境中抓取报文分析
tcp报文发送工具
07-26
在本案例中提到的“tcp报文发送工具”是一个小巧且高效的软件,用于测试和调试TCP连接及数据交换。该工具可能具有以下功能: 1. **连接与断开**:用户可以输入目标IP地址和端口号,工具将通过TCP三次握手建立连接,...
TCP_SYNC基础
05-10
TCP_SYNC基础
TCP报文发送接收测试工具
06-04
TCP报文发送接收测试工具,正如其标题所言,是用于检验TCP通信的有效性,帮助开发者调试TCP报文传输过程中的问题。这款工具可以模拟客户端与服务器端的角色,实现双向通信,从而对TCP协议的各个方面进行深度测试。 ...
详解TCP协议(一)——TCP是什么及报文结构
shang_0122的博客
02-19 8611
文章目录导图:一、TCP是什么1.1面向连接1.2可靠1.3有序1.4面向字节流传输1.4.1面向字节流,面向比特流,面向字符流比较感谢阅读,欢迎交流 导图: 接下来的博客内容会按照导图展开 一、TCP是什么 TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、有序的、基于字节流的传输层通信协议。 1.1面向连接 TCP的三次握手和四次挥手...
TCP的三次握手与四次挥手
博客
08-02 2502
TCP连接的建立------三次握手 ACK:TCP协议规定只有ACK = 1时有效,因此连接建立后的每次数据传输ACK都必须为1. SYN:在建立连接时,用来同步序号,当ACK为0且SYN为1时,表示这是一个同步序号。 连接建立之前,服务端处于LIsten状态,客户端处于Closed状态。 第一次握手:客户端给服务端发送一个SYN报文,告诉服务器自己相与服务器建立连接,并指明客户端的初始序列...
WireShark TCP分析
Fly_鹏程万里
10-20 1548
TCP是一种面向连接的、基于字节流的、可靠的传输层通信协议,面向连接意味着使用TCP的应用程序在传输数据前必须先建立连接,就如打电话一样需要先进行拨号等待对方响应之后才能开始说话,字节流是指两个应用程序通过TCP连接交换8 bit字节构成的字节流,TCP对字节流的内容不作任何解释,它并不知道传输的数据字节流是二进制数据,还是ASCII字符或者其他类型数据,对于字节流的解释由TCP连接双方的应用层解释,TCP协议通过以下几种机制来提高可靠性:确认机制:TCP协议采用确认机制来确保数据的可靠传输,发送方在发送数
TCP 实战抓包分析
热门推荐
一蓑烟雨任平生
08-22 2万+
提纲 正文 显形“不可见”的网络包 网络世界中的数据包交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学习计算机网络的时候就会觉得非常的抽象,加大了学习的难度。 还别说,我自己在大学的时候,也是如此。 直到工作后,认识了两大分析网络的利器:tcpdump 和 Wireshark,这两大利器把我们“看不见”的数据包,呈现在我们眼前,一目了然。 唉,当初大学学习计网的时候,要是能知道这两个工具,就不会学的一脸懵逼。 tcpdump 和 Wireshark 有什么区别? tc...
详解TCP的三次握手
罗罗的1024
04-13 9346
前置条件 在开始三次握手之前,我们先看看TCP头部结构,如下 了解一下什么是序列号和确认号 Sequence number 表示的是我方(发送方)这边,这个packet的数据部分的第一位应该在整个data stream中所在的位置。(注意这里使用的是“应该”。因为对于没有数据的传输,如ACK,虽然它有一个seq,但是这次传输在整个data stream中是不占位置的。所以下一个实际有数据的传输,会依旧从上一次发送ACK的数据包的seq开始) Acknowledge number 表示的是期望
笔记:TCP协议(PSH标志)
qq_62801300的博客
05-29 2257
发送方发送数据进行打包时,会将最后一个打包的TCP报文加上PSH标志; 接收方收到含有PSH的报文,会立刻把接收缓冲区的数据推给进程。
thereal分析tcp报文首段
05-13
TCP报文头部(首段)包含了TCP协议的一些基本信息,如源端口号、目的端口号、序列号、确认号、标志位等,具体如下: 1. 源端口号(Source Port Number):占用两个字节,指明发送端口号。 2. 目的端口号(Destination Port Number):占用两个字节,指明接收端口号。 3. 序列号(Sequence Number):占用四个字节,用于标识本报文段的数据在数据流中的序号,以便接收方按照序列号进行重组。 4. 确认号(Acknowledgment Number):占用四个字节,用于标识接收方期望接收的下一字节的序号。 5. 数据偏移量(Data Offset):占用四个比特,表示TCP头部的长度,以4字节为单位,最大值为15,即最大长度为60字节。 6. 保留(Reserved):占用6个比特,保留字段,必须置0。 7. 标志位(Flags):占用6个比特,共有6个标志位,如下所示: - URG:紧急指针是否有效。 - ACK:确认序号是否有效。 - PSH:接收方是否应该立即将数据交给应用层处理。 - RST:重置连接。 - SYN:同步序号用于建立连接。 - FIN:结束连接。 8. 窗口大小(Window Size):占用两个字节,表示接收方的窗口大小,即接收方还能接收多少字节的数据。 9. 校验和(Checksum):占用两个字节,用于检验TCP头部和数据的完整性。 10. 紧急指针(Urgent Pointer):占用两个字节,如果URG标志位被置位,则该字段表示紧急数据的字节数。 以上就是TCP报文头部(首段)的各个字段的解释。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值