TCP 的那些事 | TCP报文格式解析

TCP(Transmission Control Protocol 传输控制协议)提供一种面向连接的、可靠的字节流服务。面向连接意味着两个使用TCP的应用(通常是一个客户和一个服务器)在彼此交换数据之前必须先建立一个TCP连接。

TCP在网络ISO的七层模型中的第四层---Transport层,在TCP/IP协议中的第三层---传输层。

TCP通过下列方式来提供可靠性:

1. 应用数据被分割成TCP认为最适合发送的数据块。由TCP传递给IP的信息单位称为报文段或段(segment)

2. 当TCP发出一个段后,它启动一个定时器,等待目的端确认收到这个报文段。如果不能及时收到一个确认,将重发这个报文段。

3. 当TCP收到发自TCP连接另一端的数据,它将发送一个确认。这个确认不是立即发送,通常将推迟一定时间。

4. TCP将保持它首部和数据的检验和。这是一个端到端的检验和,目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错,TCP将丢弃这个报文段和不确认收到此报文段(希望发端超时并重发)。

5. 既然TCP报文段作为IP数据报来传输,而IP数据报的到达可能会失序,因此TCP报文段的到达也可能会失序。如果必要,TCP将对收到的数据进行重新排序,将收到的数据以正确的顺序交给应用层。

6. 既然IP数据报会发生重复,TCP的接收端必须丢弃重复的数据。

7. TCP还能提供流量控制。TCP连接的每一方都有固定大小的缓冲空间。TCP的接收端只允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机的缓冲区溢出。

TCP层的数据格式如图1所示:

图1 TCP数据格式

 

TCP头部默认为20字节,但也可以按照相应格式增加其他信息(TCP Options),具体含义如下:

1. 1-2字节:源端口

2. 3-4字节:目的端口

3. 5-8字节:序号,序号用来标识从TCP发端向TCP收端发送的数据字节流,到达2^32-1后又从0开始

4. 9-12字节:确认号;确认号是发送确认的一端所期望收到的下一个序号

5. 13-14字节:首先是4bit的首部长度(首部长度给出首部中32 bit字的数目。需要这个值是因为任选字段的长度是可变的,TCP最多有60字节的首部。如果没有任选字段,正常的长度是20字节);随后是6bit的保留字段;最后是6bit的Flags,含义如下:

1) 紧急URG:当URG=1时,表示报文段中有紧急数据,应尽快传送
2) 确认比特ACK:ACK = 1时代表这是一个确认的TCP包,取值0则不是确认包
3) 推送比特PSH:当发送端PSH=1时,接收端尽快的交付给应用进程
4) 复位比特(RST):当RST=1时,表明TCP连接中出现严重差错,必须释放连接,再重新建立连接
5) 同步比特SYN:在建立连接是用来同步序号。SYN=1, ACK=0表示一个连接请求报文段,SYN=1,ACK=1表示同意建立连接
6) 终止比特FIN:FIN=1时,表明此报文段的发送端的数据已经发送完毕,并要求释放传输连接

6. 15-16字节:我方窗口上限,用于控制对方发送的数据量;

7. 17-18字节:校验和,该字段检验的范围包括首部和数据这两部分。由发端计算和存储,并由收端进行验证。

8. 19-20字节:紧急指针,紧急指针在URG=1时才有效,它指出本报文段中的紧急数据的字节数。

9. 21-60字节:可选(长度可变),可以有,也可以无。

源端和目的端的端口号,用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接。

TCP为应用层提供全双工服务。这意味数据能在两个方向上独立地进行传输。因此,连接的每一端必须保持每个方向上的传输数据序号。

TCP头部和Wireshark抓包中字段对应关系如图2所示:

图2 TCP头部和Wireshark网络包对应关系
(图片来源网络)

在Wireshark抓包中,可以看到序号及确认号,如图3所示:

 

图3 Wireshark抓包中报文序号及确认号

记端口为443的为A,端口为56746的为B。443 ---> 56746表示 A发送数据给B;而56746 ---> 443表示B发送数据给A。

序号用来标识从TCP发端向TCP收端发送的数据字节流:如图3所示,第1条报文(A --- > B)的Seq为1578,第3条报文(A --- > B)的Seq为3018 = 1578 + 1440,第4条报文(A --- > B)的Seq为4458 = 3018 + 1440,第5条报文(A --- > B)的Seq为5898= 4458 + 1440。其中,1440为TCP层的数据量。

确认号Ack表示期望对方下一次发送的序号:如图3所示,第一条报文(由A发出)的Seq为1578,发送的数据长度为1440,B接受到该报文以后,期望下一次收到的序号为:1578+1440=3018,所以其ACK为3018;B回复了一个确认包给A,序号为1890,长度为0,A收到后,期望其下次的序号为1890+0=1890,因此A回复的Ack为1890,B下一次回复报文时,其Seq确实为为1890,同时A的Seq为3018,和B期望的相同。

通过Wireshark可以看出Seq及Ack的变化趋势(Statistics --- Flow Graph),如图4所示:

 

图4 Flow Graph

Seq与Ack的计算过程如图5所示:

 

图5 Seq及Ack计算公式

窗口上限,这个字段告知对方,我方缓冲器还有多大,使对方调整其发包速度,用于流控,对应于图3中的Win字段。在双方交互的过程中,Win值是不断变化的,在Wireshark中可以看出其变化趋势,如图6所示(Statistics --- TCP Stream Graphs --- Window Scaling

图6 Window Scaling

 

本次的TCP报文格式解析就介绍到这里,如有错误,还请指正。

扫描二维码,关注“小眼睛的梦呓”公众号,在手机端查看文章
扫描二维码,关注“清远的梦呓”公众号,在手机端查看文章

 

参考资料

1. Wireshark抓包分析TCP 3次握手、4次挥手过程

2. 《TCP/IP详解 卷1》

3. TCP/IP Reference

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值