【计网实验】使用wireshark分析FTP协议与ICMP协议

在做计组FTP试验时，有部分知识点掌握的不是很好，把上网收集到的资料整合一下，加强记忆，方便查找。

一、wireshark的部分功能

表达式规则
1. 协议过滤
比如TCP，只显示TCP协议。
2. IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的源端口为80的。
4. Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR
常用的过滤表达式有ip.src ==192.168.1.102 or ip.dst==192.168.1.102

源地址或者目标地址是192.168.1.102

各行信息分别为
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

二、TCP协议详解

TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。
　　面向连接： 面向连接意味着使用tcp的应用程序在传输数据前必须先建立连接，就如打电话一样，要先进行拨号，等待对方响应才能开始说话。
　　可靠性：tcp协议通过下列方式来提高可靠性：

应用数据被分割成TCP认为最适合发送的数据块。这和UDP完全不同，应用程序产生的数据报长度将保持不变。由TCP传递给I P的信息单位称为报文段或段
当TCP发出一个段后，它启动一个定时器，等待目的端确认收到这个报文段。如果不能及时收到一个确认，将重发这个报文段。
当TCP收到发自TCP连接另一端的数据，它将发送一个确认。这个确认不是立即发送，通常将推迟几分之一秒。
TCP将保持它首部和数据的检验和。这是一个端到端的检验和，目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错，TCP将丢弃这个报文段和不确认收到此报文段（希望发端超时并重发）。
既然TCP报文段作为IP数据报来传输，而IP数据报的到达可能会失序，因此TCP报文段的到达也可能会失序。如果必要，TCP将对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。
既然I P数据报会发生重复，TCP的接收端必须丢弃重复的数据。
TCP还能提供流量控制。TCP连接的每一方都有固定大小的缓冲空间。TCP的接收端只允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机的缓冲区溢出。
字节流：两个应用程序通过TCP连接交换8 bit字节构成的字节流。
另外，TCP对字节流的内容不作任何解释。TCP不知道传输的数据字节流是二进制数据，还是ASCII字符或者其他类型数据。对字节流的解释由TCP连接双方的应用层解释。

源端口号和目的端口号与udp中类似，用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接，在网络编程中，一般一个IP地址和一个端口号组合称为一个套接字（socket）。
序号：用来标识从TCP发端向TCP收端发送的数据字节流，它表示在这个报文段中的的第一个数据字节。在tcp中tcp用序号对每个字节进行计数（这个值与发送的帧数没有关系，而是与发送的数据字节数有关系，后面会有说明）。
确认序号：包含发送确认的一端所期望收到的下一个序号。因此，确认序号应当是上次已成功收到数据字节序号加 1（不是单纯的序号加1，还包括数据字节数）。
首部长度：用于记录tcp数据报首部的长度，一般为20字节，实际值为首部长度除以4。 
ACK： 确认序号有效。  
RST： 重建连接。
SYN： 同步序号用来发起一个连接。
FIN： 发端完成发送任务。 

CWR(Congestion Window Reduced)
简单来说就是网络不是很畅通了，通知对方减少阻塞窗口，发包速度发慢一点。
ECN（ECN-Echo）
ECN两个作用，在TCP三次握手时表明TCP端是否支持ECN；在传输数据时，发送方是无法知道网络是否畅通的，但是经过重重的路由后，路由根据网络的情况可以知道是否阻塞，路由会设置在IP层会设置的相应的标志，即接收端发现了拥塞。CWR为发送端缩小拥塞窗口标志，用来通知发送端它已经收到了设置ECN标志，应该减慢发包速度。关于ECN的详细描述请参考：ECN
URG(Urgent)
这就是传说中的带外数据。因为TCP是没有消息边界的，假如有一种情况，你已经发送了一些数据，但是此时，你要发送一些数据优先处理，就可以设置这些标志，同时如果设置了这个标志，紧急指针也会设置为相应的偏移。当接受方收到URG数据时，不缓存在接收窗口，直接往上传给上层。具体的使用可以参考TCP带外数据。大体来说，就是，调用send和recv是要加上MSG_OOB参数。同时接收方要处理SIGURG信号。不过据说这个带外数据在实际上，用得很少。
PSH（Push）
简单来说，就是告诉对方，我发这么多数据了，你可以处理了，不用缓冲在接收窗口了，直接交数据给上层吧。如果设置了SO_NODELAY选项，可以强制设置这个标志，如果设置了这个标志，数据就不缓冲在发送窗口那里，直接发送。
窗口大小：用于流量控制。
检验和：检验和覆盖了整个的 TCP报文段： TCP首部和TCP数据，与udp相似需要计算伪首部。

TCP报文SYN ACK的计算如下：
A -> B SYN J ACK K LEN L
B -> A SYN K ACK J+L LEN M
A -> B SYN J+L ACK K+M

三次握手：

        1. 首先客户端发送一个SYN包给服务器（SYN=1，Seq为主机选择的这个连接的初始序号），然后等待应答。
　　 2. 服务器端收到SYN包，回应给客户端一个ACK =x+1、SYN=1的TCP数据段(ACK表示确认序号有效，即收到上一个包，这里加1并不是ACK的值加1，ACK是一个标志位，这里会变成1，而x+1则是希望收到的下一个包的序列号，这个值放在包的确认序列号字段中，而只有ACK=1时，确认序列号才有效)。
　　 3. 客户必须再次回应服务器端一个ACK确认数据段（这里的Seq为x+1）。

四次挥手：

　    1. TCP客户端发送一个FIN，关闭客户端到服务器端的数据传送。（客户端不再发送报文给服务器端，但可接受服务器端报文）
　　2. 服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。
　　3.服务器关闭客户端的连接，发送一个FIN给客户端。（服务器端关闭到客户端的数据传送）
　　4.客户段发回ACK报文确认，并将确认序号设置为收到序号加1。

三、FTP的PORT和PASV的连接方式以及数据连接端口号计算

FTP（File Transfer Protocal），是文件传输协议的简称。FTP使得主机间可以共享文件，用于控制Internet上文件的双向传输。它是一个客户机/服务器系统。用户通过一个支持FTP协议的客户机程序，连接到在远程主机上的FTP服务器程序。用户通过客户机程序向服务器程序发出命令，服务器程序执行用户所发出的命令，并将执行的结果返回到客户机。 当FTP客户端与服务器建立FTP连接时，将与服务器上的两个端口建立联系：端口20和21。FTP使用不同的端口号传输不同的内容，会建立不同的TCP连接。首先，使用 TCP 生成一个虚拟连接用于控制信息，然后再生成一个单独的 TCP 连接用于数据传输。

FTP的工作过程: FTP使用2个TCP端口，一个数据端口和一个命令端口（也可叫做控制端口）。通常来说这两个端口是21——命令端口和20——数据端口，但根据FTP工作在主动模式还是被动模式，21和20端口的使用方法略有不同。 主动模式的FTP是这样的：客户机从一个任意的非特权端口N（N≥1024），连接到FTP服务器的命令端口，也就是21端口，建立一个控制连接。这个连接用于传递客户端的命令和服务器端对命令的响应，生存期是整个FTP会话时间。
如果期间需要传输文件和其它数据，例如：目录列表等，客户端就需要建立数据连接了。这种连接在需要数据传输时建立，而一旦数据传输完毕就关闭，整个FTP期间可能会建立多次。在主动模式下，建立数据连接时，客户端会开始监听端口N+1，并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N+1），开始进行数据传输。

PORT（主动）方式的连接过程是：

客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。

当需要传送数据时，客户端在命令链路上用 PORT命令告诉服务器：“我打开了****端口，你过来连接我”。

于是服务器从20端口向客户端的****端口发送连接请求，建立一条数据链路来传送数据。

PASV（被动）方式的连接过程是：

客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。

当需要传送数据时，服务器在命令链路上用 PASV命令告诉客户端：“我打开了****端口，你过来连接我”。

于是客户端向服务器的****端口发送连接请求，建立一条数据链路来传送数据。

 

FTP PORT/PASV 数据连接端口号计算:

FTP的PORT/PASV端口号
在 227 entering pasv mode （192，168，1，2，47，87）

端口号：47 X 256 + 87 = 12119

在主动模式下，FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接，然后开放N+1号端口进行监听，并向服务器发出PORT N+1命令。服务器接收到命令后，会用其本地的FTP数据端口（通常是20）来连接客户端指定的端口N+1，进行数据传输。
在被动模式下，FTP库户端随机开启一个大于1024的端口N向服务器的21号端口发起连接，同时会开启N+1号端口。然后向服务器发送PASV命令，通知服务器自己处于被动模式。服务器收到命令后，会开放一个大于1024的端口P进行监听，然后用PORT P命令通知客户端，自己的数据端口是P。客户端收到命令后，会通过N+1号端口连接服务器的端口P，然后在两个端口之间进行数据传输。
总的来说，主动模式的FTP是指服务器主动连接客户端的数据端口，被动模式的FTP是指服务器被动地等待客户端连接自己的数据端口。

四、ICMP协议

ICMP全名为(INTERNET CONTROL MESSAGE PROTOCOL)网络控制消息协议。
ICMP的协议号为1。
ICMP报文是在IP报文内部的。

ICMP报文主要有两大功能：查询报文和差错报文。当路由器收到一个无法传递下去的IP报文时，会发送ICMP目的不可达报文（Type为3）给IP报文的源发送方。报文中的Code就表示发送失败的原因。
Code
0 = net unreachable;
1 = host unreachable;
2 = protocol unreachable;
3 = port unreachable;
4 = fragmentation needed and DF set;
5 = source route failed.

网络传输IP数据报的过程中，如果IP数据包的TTL值逐渐递减为0时，需要丢弃数据报。这时，路由器需要向源发送方发送ICMP超时报文(Type为11)，Code为0，表示传输过程中超时了。

一个IP数据报可能会因为过大而被分片，然后在目的主机侧把所有的分片重组。如果主机迟迟没有等到所有的分片报文，就会向源发送方发送一个ICMP超时报文，Code为1，表示分片重组超时了。

当路由器或主机处理数据报时，发现因为报文头的参数错误而不得不丢弃报文时，需要向源发送方发送参数错误报文(Type为12)。当Code为0时，报文中的Pointer表示错误的字节位置。

路由器在处理报文时会有一个缓存队列。如果超过最大缓存队列，将无法处理，从而丢弃报文。并向源发送方发一个ICMP源冷却报文(Type为4)。

当路由收到IP数据报，发现数据报的目的地址在路由表上没有，它就会发ICMP重定向报文(Type为5)给源发送方，提醒它想要发送的地址不在。
时间戳报文是用来记录收发以及传输时间的报文。Originate Timestamp记录的是发送方发送报文的时刻；Receive Timestamp记录的是接收方收到报文的时刻；Transmit Timestamp表示回显这最后发送报文的时刻。
信息请求或信息响应报文是用来找出一个主机所在的网络个数（一个主机可能会在多个网络中）。报文的IP消息头的目的地址会填为全0，表示this，源地址会填为源IP所在的网络IP。

引用网址：

wireshark的部分功能

http://blog.csdn.net/xifeijian/article/details/9280435

TCP协议详解

http://www.cnblogs.com/imlgc/p/3864264.html

http://blog.csdn.net/ahafg/article/details/51039584

FTP的PORT和PASV的连接方式以及数据连接端口号计算

http://blog.csdn.net/bestone0213/article/details/41892921

http://blog.chinaunix.net/uid-21778123-id-1815451.html

http://blog.csdn.net/chongshangyunxiao321/article/details/51095390

ICMP协议

http://www.cnblogs.com/jingmoxukong/p/3811262.html