TCP 报文格式及TCP Flags

最新推荐文章于 2024-08-03 11:06:28 发布
最新推荐文章于 2024-08-03 11:06:28 发布
阅读量3.1w 收藏 83
点赞数 17
分类专栏: 网络 文章标签: TCP TCP Flags TCP报文格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gyunling/article/details/89330307
版权

(一)前言
       TCP 是一个基于连接的四层协议,提供全双工地,可靠地传输系统。它能够保证数据被远程主机接收。并且能够为高层协议提供flow-controlled 服务。

(二)TCP 报文格式(rfc793)  

各个Field说明:

    源端口(Source Port):长度为16 bits(2个字节)。源端口。
    目的端口(Destination Port):长度为16 bits(2个字节)。目的端口。
    序列号(Sequence Number):长度为32 bits(4个字节)。指定了当前数据分片中分配给第一字节数据的序列号。在TCP传输流中每一个字节为一个序号。如果TCP报文中flags标志位为SYN,该序列号表示初始化序列号(ISN),此时第一个数据应该是从序列号ISN+1开始。
    确认序列号(Acknowledgment Number):长度为32bits(4个字节)。表示TCP发送者期望接受下一个数据分片的序列号。该序号在TCP分片中Flags标志位为ACK时生效。序列号分片的方向和流的方向同方向,而确认序列号分片方向和流方向反方向。

    数据偏移或首部长度(Data Offset/Header Length): 长度为4bits。数据偏移也叫首部长度。因为首部长度实际也说明了数据区在分片中的起始偏移值。它表示TCP头包含了多少个32-bit的words。因为4bits在十进制中能表示的最大值为15,32bits表示4个字节,那么Data Offset的最大可表示15*4=60个字节。所以TCP报头长度最大为60字节。如果options fields为0的话,报文头长度为20个字节。
    预留字段(Reserved field):长度为6bits。值全为零。预留给以后使用。
    标志位(Flags): 长度为6bits。表示TCP包特定的连接状态。一个标签位占一个bit,从低位到高位值依次为FIN,SYN,RST,PSH,ACK,URG。新定义的TCP头还扩展了ECE,CWR,NS.
    窗口(Window):长度16bits(2个字节)。表示滑动窗口的大小,用来告诉发送端接收端的buffer space的大小。接收端buffer大小用来控制发送端的发送数据数率,从而达到流量控制。最大值为65535.
    校验和(Checksum):长度16bits(2个字节)。用来检查TCP头在传输中是否被修改。
    紧急指针(Urgent pointer):长度为16bits(2个字节)。表示TCP片中第一个紧急数据字节的指针。只有当URG标志置1时紧急指针才有效。
    选项和填充(Option和pading):可变长度。表示TCP可选选项以及填充位。当选项不足32bits时,填充字段加入额外的0填充。
    数据(Data):长度可变。用来存储上层协议的数据信息。可以为空。比如在连接建立和连接中止时。

    TCP 采用全双工模式,在连接建立后和连接中止前进行数据传输,数据传输是单向的,从发送端传输给接受端。TCP通过序列号能够保证数据被接受端接受。TCP建立连接是通过三次握手的方式来建立连接的。

(三) TCP Flags

    TCP 在连接过程中,通过Flags标志位来表示传输过程中的连接状态。因此可以通过标志位来进行问题定位或者控制指定的连接是否提交。TCP 三次握手过程如下:

    对于旧版本的TCP头定义,Flags有6bits,新版TCP头对flags扩展了3bits。每个TCP flag对应于1bit位。所以旧版TCP头flags值有6个,新版扩展了3个值。从低位到高位分别是:FIN,SYN,RST,PSH,ACK,URG,ECE,CWR,NS。

    旧版TCP Flags字段:

    新版TCP Flags字段:

Flags值说明:

    FIN: "finished"简写。表示发送者以及发送完数据。通常用在发送者发送完数据的最后一个包中。
    SYN: "Synchronisation"简写。表示三次握手建立连接的第一步,在建立连接时发送者发送的第一个包中设置flag值为SYN。
    RST: "reset"简写。重置连接标志,用于重置由于主机崩溃或其他原因而出现错误的连接。或者发送包发送到一个不是期望的                  目的主机时,接收端发送reset 重置连接标志的包。
    PSH: "push"简写。通知接收端处理接收的报文,而不是将报文缓存到buffer中。
    ACK: "Acknowledgment"简写。表示包已经被成功接收。
    URG: "urgent"简写。通知接收端处理在处理其他包前优先处理接收到的紧急报文(urgent packets)。详见RFC6093。
    ECE: "ECN-Echo"简写。ECN表示Explicit Congestion Notification。表示TCP peer有ECN能力。详见RFC3168。
    CWR: "Congestion Window Reduced"简写。发送者在接收到一个带有ECE flag包时,将会使用CWR flag。 详见RFC3168。
    NS: "nonce sum"简写。该标签用来保护不受发送者发送的突发的恶意隐藏报文的侵害。详见 RFC 3540。

(四) 使用tcpdump抓取响应flag值得报文

    因为TCP Flags 位于TCP头的第14个字节中。所有可以通过如下命令进行抓取:

    抓取FIN包: tcpdump -i eth0 "tcp[13] & 1"  -ennnv
    抓取SYN包: tcpdump -i eth0 "tcp[13] & 2" -ennnv
    抓取RST包: tcpdump -i eth0 "tcp[13] & 4" -ennnv
    抓取PSH包: tcpdump -i eth0 "tcp[13] & 8" -ennnv
    抓取ACK包: tcpdump -i eth0 "tcp[13] & 16" -ennnv
    抓取URG包: tcpdump -i eth0 "tcp[13] & 32"  -ennnv

 

参考:
    https://tools.ietf.org/html/rfc793
    https://tools.ietf.org/html/rfc3168
    https://tools.ietf.org/html/rfc3540

andy-guo
关注
专栏目录
TCP标志位详解(TCP Flag)
探索世界,改变世界
09-14 4万+
TCP的Flag(标志位) 每个TCP段都有一个目的,这是借助于TCP标志选项来确定的,允许发送方或接收方指定哪些标志应该被使用,以便段被另一端正确处理。 您可以看到在3次握手(SYN,ACK)和数据传输期间使用的2个标志。 与所有标志一样,值“1”表示特定标志为“设置”,或者如果您喜欢,则为“开”。在此示例中,只有“SYN”标志被设置,表示这是新的TCP连接的第一个段。 除此之外,每个标志长一位,由于有6个标志,所以标志部分总共6位。 最流行的标志是“SYN”,“ACK”和“FIN”,用于建立连接,确认成
TCP FLAG 标记
grmsu的专栏
07-29 2212
TCP FLAG 标记基于标记的TCP包匹配经常被用于过滤试图打开新连接的TCP数据包。TCP标记和他们的意义如下所列:* F : FIN - 结束; 结束会话* S : SYN - 同步; 表示开始会话请求* R : RST - 复位;中断一个连接* P : PUSH - 推送
TCP Analysis FlagsTCP Window Full
最新发布
7ACE的博客
08-03 1161
实际在 TCP 分析中,关于的定义非常简单,如下,为本端发送端所发的 TCP 段大小超过对端接收端的接收窗口大小,受到对端接收窗口大小的限制,需注意的是这个标记是在发送端标记,而不是在接收端标记。具体的代码如下,总的来说这段代码的作用是检测 TCP 数据流中的“窗口已满”情况,即当前数据段刚好达到接收端宣告的窗口边界,检测到这种情况时,会设置相应的标志以供后续处理使用。*/=-1if(!lastack,定义为 Last seen ack for the reverse flow。
过滤TCP
ikisstherain的博客
10-18 1468
!(tcp.analysis.retransmission)
抓取网络包与分析网络报文的相关记录
生于忧患,死于安乐
12-15 559
文章目录1. 前言2. 命令解析3. Wireshark使用3.1 工具简介3.2 界面理解3.3 过滤规则 1. 前言 写这篇文章主要目的是为了结合日志辅助分析网络状况,算是比较基础,这也方便初学者学习理解。 先来看一下它的简介:tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于大多数的类Unix系...
iptables拓展模块——tcp-flags限制nmap
Serendipity
01-12 1306
TCP协议详解之TCP Flag标志位来判断TCP会话的开始和结束
热门推荐
answer3lin的博客
12-06 2万+
首先回顾一下TCP标志位的具体含义。 TCP Flag标志位(控制位) 一个TCP包的详细内容: TCP FLAG 标记占1.5个byte,12bit(4bit+8bit,前半个byte与Header Length公用)。 12bit中前三个bit是保留,默认为全0: 000. .... .... = Reserved: Not set 第4个bit为: ...0 ......
TCP Flags标志位介绍
网络资源是无限的
04-10 1万+
传输控制协议(Transmission Control Protocol,TCP)是一种传输层协议。TCP使数据包从源到目的地的传输更加顺畅。它是一种面向连接的端到端协议。每个数据包由TCP包裹在一个报头中,该报头由10个强制字段共20个字节和一个0到40 字节的可选数据字段组成。如下图所示:来自于https://www.geeksforgeeks.org 1.源端口号(Source Port):16bits,该字段标识发送方应用程序的端口号。 2.目...
iptables之tcp flags
独孤柯灵的博客
11-24 7036
iptables之tcp flags
(一)深入浅出TCPIP之理解TCP报文格式和交互流程
网易搬砖选手
10-30 3268
目录 1.引入TCP: 1.1 TCP用户代码 2. TCP数据报文格式 3 TCP栈及socket的初始化 4. 服务器端bind和listen的实现 4.1sockaddr与sockaddr_in结构体 4.2网络字节序 5.服务器墙accept的实现 6.客户端connect的实现(发起三次握手) 1.引入TCPTCP和UDP是完全迥异的传输层协议,被设计为做不同的事情。二者的共性是都使用IP作为其网络层协议。TC...
TCP报文格式全解析:网络小白变高手的必读指南
孤芳不自赏
07-18 453
大家好,今天我们来聊聊网络基础中的TCP报文格式TCP协议是互联网通信的基石,它的报文格式虽然复杂,但掌握后能大大提升你的网络技术水平。本文将详细解析TCP报文的各个字段,让你从零开始逐步深入,成为网络通信的高手。快来一起学习吧!
TCP 协议三次握手四次挥手及报文格式
林肥皂的肥皂盒
11-30 1901
TCP全称为Transmission ControlProtocol(传输控制协议),是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP是为了在不可靠的互联网络上提供可靠的端到端字节流而专门设计的一个传输协议。 TCP位于OSI基层模型的传输层 本文通过思科模拟器学习TCP协议的三次握手四次挥手及报文格式 首先建立一个简单拓扑,并进行基础配置,配置PC0的IP地址为192.168.1.1 ,配置路由器的IP地址为192.168.1.100并启动HTTP协议。 接下来打开PC0的浏览器对服务.
TCP首部报文段格式
点滴记录
05-18 7867
最近《计算机网络》这本书看到了传输层的 TCP 协议,因为TCP 的全部功能都体现在它的首部中,因此觉得有必要将这些知识梳理一下。 首先TCP 是面向字节流的。这个流指的是流入到进程或从进程流出的字节序列。面向字节流的含义是:应用程序与 TCP 的交互是一次一个数据块(大小不等),但是 TCP 把应用程序交下来数据仅仅看成是一连串的无结构字节流。而 TCP 不知道所传送字节流的含义。 一、...
互联网协议 — TCP报文格式
烟云的计算
05-01 4113
目录 文章目录目录TCP TCP TCP(Transmission Control Protocol,传输控制协议),是一种面向连接的可靠传输协议,提供可靠(无差错、不丢失、不重复、按顺序)的字节流数据传输服务。在传输效率和可靠性之间选择了后者,所以有开销大、传输速度慢的缺点。 面向连接:在使用 TCP 通信之前,需要进行 “三次握手” 建立发收双方连接,通信结束后还要进行 “四次挥手” 确保断...
TCP Analysis FlagsTCP Previous segment not captured
7ACE的博客
07-10 971
TCP Analysis FlagsTCP Previous segment not captured
Wireshark文档阅读笔记-TCP Flags
IT1995的博客
01-27 3072
TCP flags是什么? TCP flags存在于TCP数据包中,这个标志位暗示连接状态和一些额外的信息。这个标志位常用于故障诊断或是控制某种特定的连接下面介绍了TCP flags如:SYN、ACK、FIN。 List of TCP flags 每一个TCP flag的大小都是1bit。下面将介绍每一个标志位: SYN:同步标志位,用于2台主机要建立连接时,第一次发出的数据包,在TCP三次握手中,前两次握手会带有SYN标志位,如上图的TCP三次握手。 ACK:确认位,用于说明前对方...
TCP 协议中 FLAG 的含义
有理论,有实验,有结论,可为一篇文章
08-17 3947
文章目录TCP FLAG 标记TCP连接的三次握手TCP断开的四次挥手连接复位无效的TCP标记RST攻击RST攻击的防御 TCP FLAG 标记 TCP标记和他们的意义如下所列: F:FIN - 结束;结束会话 S:SYN - 同步;表示开始会话请求 R:RST - 复位;中断一个连接 P:PUSH - 推送;数据包立即发送 A:ACK - 应答 U:URG - 紧急 E:ECE - 显式拥塞提醒回应 W:CWR - 拥塞窗口减少 TCP连接的三次握手 一个虚拟连接的建立是通过三次握手来实现的,具体步骤
TCP的几个状态 SYN, FIN, ACK, PSH, RST, URG
weixin_34361881的博客
03-15 4003
2019独角兽企业重金招聘Python工程师标准>>> ...
tcp报文段的首部格式
07-27
TCP报文段的首部格式如下: ``` 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Port | Destination Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Acknowledgment Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data | Reserved|C|E|U|A|P|R|S|F| | | Offset| |W|C|R|C|S|S|Y|I| Window | | | |R|E|G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Checksum | Urgent Pointer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ``` 其中各字段的含义如下: - 源端口(Source Port):发送端口号,16位,标识发送方的应用程序或进程。 - 目的端口(Destination Port):目标端口号,16位,标识接收方的应用程序或进程。 - 序列号(Sequence Number):32位,用于对发送的数据进行排序和重组。 - 确认号(Acknowledgment Number):32位,用于确认接收到的数据。 - 数据偏移(Data Offset):4位,表示TCP首部的长度,以32位字为单位。 - 保留字段(Reserved):6位,保留供将来使用。 - 控制位(Flags):6位,包括6个标志位,分别为CWR、ECE、URG、ACK、PSH和RST,用于控制TCP连接的建立、维护和关闭。 - 窗口(Window):16位,表示发送端还能接收的数据量。 - 校验和(Checksum):16位,用于检验TCP首部和数据的完整性。 - 紧急指针(Urgent Pointer):16位,仅在URG标志置位时有效,表示紧急数据的偏移量。 - 选项(Options):可选字段,用于扩展TCP功能。 - 填充(Padding):用于使TCP首部的长度为32位的整数倍。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

andy-guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值