**实验设计思路**
Tcp是一个面向连接、端到端、提供可靠传输的传输层协议,在访问网站时会产生大量的Tcp数据包,所以可以直接使用抓包工具进行截取。
实验步骤
本次实验需要windows电脑一台,安装wireshark抓包工具,打开浏览器,输入某一个网址(www.Amazon.com),打开wireshark抓包工具,随后访问网址,访问完成后,关闭网址,完成抓包。最后整理过滤wireshark数据报,将相应的TCP数据包逐个分析。
TCP工作原理
1.在源主机上,应用层将一串应用数据流传送给传输层。
2.传输层将应用层的数据流截成分组,并加上TCP报头形成TCP段,送交网络层。
3.在网络层给TCP段加上包括源、目的主机IP地址的IP报头,生成一个IP数据包,并将IP数据包送交链路层。
4.链路层在其MAC帧的数据部分装上IP数据包,再加上源、目的主机的MAC地址和帧头,并根据其目的MAC地址,将MAC帧发往目的主机或IP路由器。
5.在目的主机,链路层将MAC帧的帧头去掉,并将IP数据包送交网络层。
6.网络层检查IP报头,如果报头中校验和与计算结果不一致,则丢弃该IP数据包;若校验和与计算结果一致,则去掉IP报头,将TCP段送交传输层。
7.传输层检查顺序号,判断是否是正确的TCP分组,然后检查TCP报头数据。若正确,则向源主机发确认信息;若不正确或丢包,则向源主机要求重发信息。
8.在目的主机,传输层去掉TCP报头,将排好顺序的分组组成应用数据流送给应用程序。这样目的主机接收到的来自源主机的字节流,就像是直接接收来自源主机的字节流一样。
TCP数据包分析
三次握手:
客户端ip地址为:192.168.1.195
服务器ip地址为:35.156.236.11
第一次握手:客户端发送SYN报文段,表明客户端想要连接到服务器,原端口为64236目的端口为80,窗口大小为:64240,len=0表示发送数据长度小于MSS即不需要分片,MSS=1460表示协商最大报文长度(MSS=MTU-ip首部-TCP首部),WS是接收窗口的放大倍数,SACK_PERM=1表示的是使用选择确认报文。
第二次握手:服务器收到客户端发送的SYN报文则,返回一个SYN+确认ACK信息,告诉客户端表示自己收到了发来的SYN报文并且同意建立连接,Seq=0,ACK=第一次发送的SYN+1。
第三次握手:客户端将确认序号ACK设置为服务器发送来的SYN+1;已对服务器的SYN报文进行确认,通知双方都同意建立连接。
四次挥手:
第一次挥手:进行关闭的一方即服务器发送第一个FIN报文,由于采用了捎带确认机制,在此报文值还有一个ACK返回报文,源端口为80,目的端口64236,Seq=2186。
第二次挥手:客户端接收到第一个请求关闭报文后,先回发送一个ACK响应报文表示已接收到此消息,确认序列号ACK为第一次的Seq+1 即2187;
第三次挥手:当应用程序处理完成后关闭连接,客户端主动向服务器发送一个FIN报文段,表示自己关闭连接。Seq=245,Ack=2187。
第四次挥手:服务器发送最后一个ACK确认报文,确认序列号为上一个FIN报文SYN+1 即246。由于TCP提供半关闭功能,所以在一方结束发送后,仍然能够接收到对方发来的信息。
三次握手:
四次挥手:
跟踪TCP数据流分析:
一系列TCP数据包:
分组信息:
窗口信息:(上方为接收窗口;由于接收窗口远大于发送窗口,所以传输过程不需要拥塞控制等方式)
往返时间:
**实验总结**
本次实验成功的分析了TCP报文的连接与断开,跟踪分析了TCP数据流的窗口滑动,分组信息,往返时间,对于TCP的工作过程更为了解,在实验过程中让我进一步的理解了滑动窗口机制,流量控制机制,但是比较遗憾的是没有抓到网络拥塞时的TCP报文,导致无法分析拥塞控制时的具体操作。感谢实验过程中老师同学的帮助,在今后的协议分析中继续努力。
1945
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
