TCP数据报头和TCP连接建立过程

一个TCP 数据报包含一个固定的20字节的头、一个可选部分以及0或多字节的数据。

对数据报的大小有两个限制条件：

首先，每个数据报（包括TCP头在内）必须适合IP的载荷能力，不能超过65535字节；其次，每个网络都存在最大传输单元MTU（maximum transfer unit），要求每个数据报必须适合MTU。如果一个数据报进入了一个MTU小于该数据报长度的网络，那么处于网络边界上的路由器会把该数据报分解为多个小的数据报。

 

TCP数据报头

源端口、目的端口：16位长。标识出远端和本地的端口号。

顺序号：32位长。表明了发送的数据报的顺序。32 位的序列号由接收端计算机使用，重新分段的报文成最初形式。当SYN 出现，序列码实际上是初始序列码（ISN），而第一个数
据字节是ISN+1。这个序列号（序列码）是可以补偿传输中的不一致。

 

确认号：32位长。希望收到的下一个数据报的序列号。32 位的序列号由接收端计算机使用，重组分段的报文成最初形式，如果设置了ACK 控制位，这个值表示一个准备接收的包的序列码。

TCP头长：4位长。表明TCP头中包含多少个32位字。4 位包括TCP 头大小，指示何处数据开始。

接下来的6位未用。

连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是：URG、ACK、PSH、RST、SYN、FIN。

ACK：ACK位置1表明确认号是合法的。如果ACK为0，那么数据报不包含确认信息，确认字段被省略。TCP 报头内的确认编号栏内包含的确认编号(w+1，Figure：1)为下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。

PSH：表示是带有PUSH标志的数据。接收方因此请求数据报一到便可送往应用程序而不必等到缓冲区装满时才传送。该标志置位时，接收端不将该数据进行队列处理，而是尽可能快将数据转由应用处理。在处理telnet 或rlogin 等交互模式的连接时，该标志总是置位的。

RST：用于复位由于主机崩溃或其它原因而出现的错误的连接。还可以用于拒绝非法的数据报或拒绝连接请求。

SYN：用于建立连接。该标志仅在三次握手建立。

FIN：用于释放连接。

 

窗口(Window)：16 位，用来表示想收到的每个TCP 数据段的大小。窗口大小字段表示在确认了字节之后还可以发送多少个字节。

校验位(Checksum)：16 位TCP 头。源机器基于数据内容计算一个数值，收信息机要与源机器数值结果完全一样，从而证明数据的有效性。是为了确保高可靠性而设置的。它校验头部、数据和伪TCP头部之和。

优先指针（紧急,Urgent Pointer）：16 位，指向后面是优先数据的字节，在 URG
标志设置了时才有效。如果URG 标志没有被设置，紧急域作为填充。加快处理标示为紧急
的数据段。
选项(Option)：长度不定，但长度必须以字节。如果没有选项就表示这个一字节的域等于0。

 

填充：不定长，填充的内容必须为0，它是为了数学目的而存在。目的是确保空
间的可预测性。保证包头的结合和数据的开始处偏移量能够被32 整除，一般额外的零以保
证TCP 头是32 位的整数倍。

 

可选项：0个或多个32位字。包括最大TCP载荷，窗口比例、选择重发数据报等选项。

1. 最大TCP载荷：允许每台主机设定其能够接受的最大的TCP载荷能力。在建立连接期间，双方均声明其最大载荷能力，并选取其中较小的作为标准。如果一台主机未使用该选项，那么其载荷能力缺省设置为536字节。
2. 窗口比例：允许发送方和接收方商定一个合适的窗口比例因子。这一因子使滑动窗口最大能够达到232字节。
3. 选择重发数据报：这个选项允许接收方请求发送指定的一个或多个数据报。

 

连接管理

在TCP中建立连接采用三次握手的方法。

为了建立连接，其中一方，如服务器，通过执行LISTEN和ACCEPT原语被动地等待一个到达的连接请求。

另一方，如客户方，执行CONNECT原语，同时要指明它想连接到的IP地址和端口号，设置它能够接受的TCP数据报的最大值，以及一些可选的用户数据。CONNECT原语发送一个SYN=1，ACK=0的数据报到目的端，并等待对方响应。

该数据报到达目的端后，那里的TCP实体将察看是否有进程在侦听目的端口字段指定的端口。如果没有，它将发送一个RST=1的应答，拒绝建立该连接。

如果某个进程正在对该端口进行侦听，于是便将到达的TCP数据报交给该进程，它可以接受或拒绝建立连接。如果接受，便发回一个确认数据报。

为了释放连接，每方均可发送一个FIN=1的TCP数据报，表明本方已无数据发送。当FIN数据报被确认后，那个方向的连接即告关闭。当两个方向上 的连接均关闭后，该连接就被完全释放了。一般情况下，释放一个连接需要4个TCP数据报：每个方向均有一个FIN数据报和一个ACK数据报。

 

经典案例，这是后来被称为MITNICK 攻击中KEVIN 开创了两种攻击技术： TCP 会话劫持 和 SYN FLOOD（同步洪流）。

在这里我们讨论的是TCP 会话劫持的问题。先让我们明白TCP 建立连接的基本简单的过程。为了建设一个小型的模仿环境我们假设有3 台接入互联网的机器。A 为攻击者操纵的攻击机。B 为中介跳板机器（受信任的服务器）。C 为受害者使用的机器（多是服务器），这里把C 机器锁定为目标机器。A 机器向B机器发送SYN 包，请求建立连接，这时已经响应请求的B 机器会向A 机器回应SYN/ACK表明同意建立连接，当A 机器接受到B 机器发送的SYN/ACK 回应时，发送应答ACK 建立，A 机器与B 机器的网络连接。这样一个两台机器之间的TCP 通话信道就建立成功了。

B 终端受信任的服务器向C 机器发起TCP 连接，A 机器对服务器发起SYN 信息，使C 机器不能响应B 机器。在同时A 机器也向B 机器发送虚假的C 机器回应的SYN 数据包，接收到SYN 数据包的B 机器（被C 机器信任）开始发送应答连接建立的SYN/ACK 数据包，这时C 机器正在忙于响应以前发送的SYN 数据而无暇回应B 机器，而A 机器的攻击者预测出B 机器包的序列号（现在的TCP 序列号预测难度有所加大）假冒C 机器向B 机器发送应答ACK 这时攻击者骗取B 机器的信任，假冒C 机器与B 机器建立起TCP 协议的对话连接。这个时候的C 机器还是在响应攻击者A 机器发送的SYN 数据。

TCP 协议栈的弱点：TCP 连接的资源消耗，其中包括：数据包信息、条件状态、序列号等。通过故意不完成建立连接所需要的三次握手过程，造成连接一方的资源耗尽。通过攻击者有意的不完成建立连接所需要的三次握手的全过程，从而造成了C 机器的资源耗尽。序列号的可预测性，目标主机应答连接请求时返回的SYN/ACK 的序列号时可预测的。（早期TCP 协议栈，具体的可以参见1981 年出的关于TCP 雏形的RFC793 文档）