TCP(Transmission Control Protocol 传输控制协议)提供一种面向连接的、可靠的字节流服务。面向连接意味着两个使用TCP的应用(通常是一个客户和一个服务器)在彼此交换数据之前必须先建立一个TCP连接。
TCP在网络ISO的七层模型中的第四层---Transport层,在TCP/IP协议中的第三层---传输层。
TCP通过下列方式来提供可靠性:
1. 应用数据被分割成TCP认为最适合发送的数据块。由TCP传递给IP的信息单位称为报文段或段(segment)
2. 当TCP发出一个段后,它启动一个定时器,等待目的端确认收到这个报文段。如果不能及时收到一个确认,将重发这个报文段。
3. 当TCP收到发自TCP连接另一端的数据,它将发送一个确认。这个确认不是立即发送,通常将推迟一定时间。
4. TCP将保持它首部和数据的检验和。这是一个端到端的检验和,目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错,TCP将丢弃这个报文段和不确认收到此报文段(希望发端超时并重发)。
5. 既然TCP报文段作为IP数据报来传输,而IP数据报的到达可能会失序,因此TCP报文段的到达也可能会失序。如果必要,TCP将对收到的数据进行重新排序,将收到的数据以正确的顺序交给应用层。
6. 既然IP数据报会发生重复,TCP的接收端必须丢弃重复的数据。
7. TCP还能提供流量控制。TCP连接的每一方都有固定大小的缓冲空间。TCP的接收端只允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机的缓冲区溢出。
TCP层的数据格式如图1所示:
TCP头部默认为20字节,但也可以按照相应格式增加其他信息(TCP Options),具体含义如下:
1. 1-2字节:源端口
2. 3-4字节:目的端口
3. 5-8字节:序号,序号用来标识从TCP发端向TCP收端发送的数据字节流,到达2^32-1后又从0开始
4. 9-12字节:确认号;确认号是发送确认的一端所期望收到的下一个序号
5. 13-14字节:首先是4bit的首部长度(首部长度给出首部中32 bit字的数目。需要这个值是因为任选字段的长度是可变的,TCP最多有60字节的首部。如果没有任选字段,正常的长度是20字节);随后是6bit的保留字段;最后是6bit的Flags,含义如下:
1) 紧急URG:当URG=1时,表示报文段中有紧急数据,应尽快传送
2) 确认比特ACK:ACK = 1时代表这是一个确认的TCP包,取值0则不是确认包
3) 推送比特PSH:当发送端PSH=1时,接收端尽快的交付给应用进程
4) 复位比特(RST):当RST=1时,表明TCP连接中出现严重差错,必须释放连接,再重新建立连接
5) 同步比特SYN:在建立连接是用来同步序号。SYN=1, ACK=0表示一个连接请求报文段,SYN=1,ACK=1表示同意建立连接
6) 终止比特FIN:FIN=1时,表明此报文段的发送端的数据已经发送完毕,并要求释放传输连接6. 15-16字节:我方窗口上限,用于控制对方发送的数据量;
7. 17-18字节:校验和,该字段检验的范围包括首部和数据这两部分。由发端计算和存储,并由收端进行验证。
8. 19-20字节:紧急指针,紧急指针在URG=1时才有效,它指出本报文段中的紧急数据的字节数。
9. 21-60字节:可选(长度可变),可以有,也可以无。
源端和目的端的端口号,用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接。
TCP为应用层提供全双工服务。这意味数据能在两个方向上独立地进行传输。因此,连接的每一端必须保持每个方向上的传输数据序号。
TCP头部和Wireshark抓包中字段对应关系如图2所示:
在Wireshark抓包中,可以看到序号及确认号,如图3所示:
记端口为443的为A,端口为56746的为B。443 ---> 56746表示 A发送数据给B;而56746 ---> 443表示B发送数据给A。
序号用来标识从TCP发端向TCP收端发送的数据字节流:如图3所示,第1条报文(A --- > B)的Seq为1578,第3条报文(A --- > B)的Seq为3018 = 1578 + 1440,第4条报文(A --- > B)的Seq为4458 = 3018 + 1440,第5条报文(A --- > B)的Seq为5898= 4458 + 1440。其中,1440为TCP层的数据量。
确认号Ack表示期望对方下一次发送的序号:如图3所示,第一条报文(由A发出)的Seq为1578,发送的数据长度为1440,B接受到该报文以后,期望下一次收到的序号为:1578+1440=3018,所以其ACK为3018;B回复了一个确认包给A,序号为1890,长度为0,A收到后,期望其下次的序号为1890+0=1890,因此A回复的Ack为1890,B下一次回复报文时,其Seq确实为为1890,同时A的Seq为3018,和B期望的相同。
通过Wireshark可以看出Seq及Ack的变化趋势(Statistics --- Flow Graph),如图4所示:
Seq与Ack的计算过程如图5所示:
窗口上限,这个字段告知对方,我方缓冲器还有多大,使对方调整其发包速度,用于流控,对应于图3中的Win字段。在双方交互的过程中,Win值是不断变化的,在Wireshark中可以看出其变化趋势,如图6所示(Statistics --- TCP Stream Graphs --- Window Scaling)
本次的TCP报文格式解析就介绍到这里,如有错误,还请指正。
参考资料
1. Wireshark抓包分析TCP 3次握手、4次挥手过程
2. 《TCP/IP详解 卷1》