TCP 的那些事 | TCP报文格式解析

TCP（Transmission Control Protocol 传输控制协议）提供一种面向连接的、可靠的字节流服务。面向连接意味着两个使用TCP的应用（通常是一个客户和一个服务器）在彼此交换数据之前必须先建立一个TCP连接。

TCP在网络ISO的七层模型中的第四层---Transport层，在TCP/IP协议中的第三层---传输层。

TCP通过下列方式来提供可靠性：

1. 应用数据被分割成TCP认为最适合发送的数据块。由TCP传递给IP的信息单位称为报文段或段（segment）

2. 当TCP发出一个段后，它启动一个定时器，等待目的端确认收到这个报文段。如果不能及时收到一个确认，将重发这个报文段。

3. 当TCP收到发自TCP连接另一端的数据，它将发送一个确认。这个确认不是立即发送，通常将推迟一定时间。

4. TCP将保持它首部和数据的检验和。这是一个端到端的检验和，目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错，TCP将丢弃这个报文段和不确认收到此报文段（希望发端超时并重发）。

5. 既然TCP报文段作为IP数据报来传输，而IP数据报的到达可能会失序，因此TCP报文段的到达也可能会失序。如果必要，TCP将对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。

6. 既然IP数据报会发生重复，TCP的接收端必须丢弃重复的数据。

7. TCP还能提供流量控制。TCP连接的每一方都有固定大小的缓冲空间。TCP的接收端只允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机的缓冲区溢出。

TCP层的数据格式如图1所示：

图1 TCP数据格式

 

TCP头部默认为20字节，但也可以按照相应格式增加其他信息（TCP Options），具体含义如下：

1. 1-2字节：源端口

2. 3-4字节：目的端口

3. 5-8字节：序号，序号用来标识从TCP发端向TCP收端发送的数据字节流，到达2^32－1后又从0开始

4. 9-12字节：确认号；确认号是发送确认的一端所期望收到的下一个序号

5. 13-14字节：首先是4bit的首部长度（首部长度给出首部中32 bit字的数目。需要这个值是因为任选字段的长度是可变的，TCP最多有60字节的首部。如果没有任选字段，正常的长度是20字节）；随后是6bit的保留字段；最后是6bit的Flags，含义如下：

1) 紧急URG：当URG=1时，表示报文段中有紧急数据，应尽快传送
2) 确认比特ACK：ACK = 1时代表这是一个确认的TCP包，取值0则不是确认包
3) 推送比特PSH：当发送端PSH=1时，接收端尽快的交付给应用进程
4) 复位比特（RST）：当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再重新建立连接
5) 同步比特SYN：在建立连接是用来同步序号。SYN=1， ACK=0表示一个连接请求报文段，SYN=1，ACK=1表示同意建立连接
6) 终止比特FIN：FIN=1时，表明此报文段的发送端的数据已经发送完毕，并要求释放传输连接

6. 15-16字节：我方窗口上限，用于控制对方发送的数据量；

7. 17-18字节：校验和，该字段检验的范围包括首部和数据这两部分。由发端计算和存储，并由收端进行验证。

8. 19-20字节：紧急指针，紧急指针在URG=1时才有效，它指出本报文段中的紧急数据的字节数。

9. 21-60字节：可选（长度可变），可以有，也可以无。

源端和目的端的端口号，用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接。

TCP为应用层提供全双工服务。这意味数据能在两个方向上独立地进行传输。因此，连接的每一端必须保持每个方向上的传输数据序号。

TCP头部和Wireshark抓包中字段对应关系如图2所示：

图2 TCP头部和Wireshark网络包对应关系
（图片来源网络）

在Wireshark抓包中，可以看到序号及确认号，如图3所示：

 

图3 Wireshark抓包中报文序号及确认号

记端口为443的为A，端口为56746的为B。443 ---> 56746表示 A发送数据给B;而56746 ---> 443表示B发送数据给A。

序号用来标识从TCP发端向TCP收端发送的数据字节流：如图3所示，第1条报文（A --- > B）的Seq为1578，第3条报文（A --- > B）的Seq为3018 = 1578 + 1440，第4条报文（A --- > B）的Seq为4458 = 3018 + 1440，第5条报文（A --- > B）的Seq为5898= 4458 + 1440。其中，1440为TCP层的数据量。

确认号Ack表示期望对方下一次发送的序号：如图3所示，第一条报文（由A发出）的Seq为1578，发送的数据长度为1440，B接受到该报文以后，期望下一次收到的序号为：1578+1440=3018，所以其ACK为3018；B回复了一个确认包给A，序号为1890，长度为0，A收到后，期望其下次的序号为1890+0=1890，因此A回复的Ack为1890，B下一次回复报文时，其Seq确实为为1890，同时A的Seq为3018，和B期望的相同。

通过Wireshark可以看出Seq及Ack的变化趋势（Statistics --- Flow Graph），如图4所示：

 

图4 Flow Graph

Seq与Ack的计算过程如图5所示：

 

图5 Seq及Ack计算公式

窗口上限，这个字段告知对方，我方缓冲器还有多大，使对方调整其发包速度，用于流控，对应于图3中的Win字段。在双方交互的过程中，Win值是不断变化的，在Wireshark中可以看出其变化趋势，如图6所示（Statistics --- TCP Stream Graphs --- Window Scaling）

图6 Window Scaling

 

本次的TCP报文格式解析就介绍到这里，如有错误，还请指正。

扫描二维码，关注“清远的梦呓”公众号，在手机端查看文章

 

参考资料

1. Wireshark抓包分析TCP 3次握手、4次挥手过程

2. 《TCP/IP详解 卷1》

3. TCP/IP Reference