TCP/IP学习笔记补遗
作者:肖进
源代码下载
经过我对网络上IP数据包的跟踪,对我写的《TCP/IP学习笔记》进行补充。通过本文,可以加深对TCP/IP的认识。
●网络环境:ADSL宽带
●IP数据包内容:通过Outlook发送邮件,帐号是xiaojin8039@163.com,给我的其他邮箱xiaoj@njb.swirebev.com发送邮件,系统从而捕获的IP包。
●所有IP包均为TCP协议
1、关于IP包的分片情况:
所有的IP包均不分片,也就是IP包传输过程从不进行分片,均保持原始IP包的大小。这可能跟网络环境较好有关。
2、关于IP首部和TCP首部的大小:
IP首部的大小均为20,未见到包括选项的情况。但TCP首部有时会包括选项,大小为24到44不等,建立连接时的协商都带有选项数据,一般为28。
3、关于TCP连接的步骤:
(1)客户端发送建立报文的TCP报文给服务器端;
(2)服务器端发送同意建立TCP连接的报文给客户端;
(3)客户端再次进行确认;
(4)服务器端发送服务器信息;
(5)客户端发送数据,服务器端发送数据;
(6)客户端发送结束连接的命令;
(7)服务器端发送结束连接的TCP报文给客户端;
(8)客户端发送同意结束连接的TCP报文给服务器端;
4、TCP连接的具体过程,包括P包的唯一标识符ID、TCP报文连接的sequence和ACK数据,这是一个完整的TCP连接建立和结束的过程:
| 序号 | 数据大小 | 客户端 | 服务器端 | ||||
| IPID | sequence | ACK | IPID | sequence | ACK | ||
| 1 | 0 | 273 | 2098660028 | 0 | |||
| 2 | 0 | 54707 | 3904671124 | 2098660029 | |||
| 3 | 0 | 274 | 2098660029 | 3904671125 | |||
| 4 | 56 | 54708 | 3904671125 | 2098660029 | |||
| 5 | 14 | 275 | 2098660029 | 3904671181 | |||
| 6 | 0 | 54709 | 3904671181 | 2098660043 | |||
| 7 | 113 | 54710 | 3904671181 | 2098660043 | |||
| 8 | 12 | 276 | 2098660043 | 3904671294 | |||
| 9 | 18 | 54711 | 3904671294 | 2098660055 | |||
| 10 | 18 | 277 | 2098660055 | 3904671312 | |||
| 11 | 18 | 54712 | 3904671312 | 2098660073 | |||
| 12 | 10 | 278 | 2098660073 | 3904671330 | |||
| 13 | 31 | 54713 | 3904671330 | 2098660083 | |||
| 14 | 0 | 279 | 2098660083 | 3904671361 | |||
| 15 | 34 | 280 | 2098660083 | 3904671361 | |||
| 16 | 8 | 54714 | 3904671361 | 2098660117 | |||
| 17 | 35 | 281 | 2098660117 | 3904671369 | |||
| 18 | 8 | 54715 | 3904671369 | 2098660152 | |||
| 19 | 6 | 282 | 2098660152 | 3904671377 | |||
| 20 | 37 | 54716 | 3904671377 | 2098660158 | |||
| 21 | 1414 | 283 | 2098660158 | 3904671414 | |||
| 22 | 0 | 54717 | 3904671414 | 2098661572 | |||
| 23 | 993 | 284 | 2098661572 | 3904671414 | |||
| 24 | 0 | 54718 | 3904671414 | 2098662570 | |||
| 25 | 5 | 285 | 2098662565 | 3904671414 | |||
| 26 | 38 | 54719 | 3904671414 | 2098662570 | |||
| 27 | 6 | 286 | 2098662570 | 3904671452 | |||
| 28 | 9 | 54720 | 3904671452 | 2098662576 | |||
| 29 | 0 | 54721 | 3904671452 | 5098662576 | |||
| 30 | 0 | 287 | 2098662576 | 3904671462 | |||
| 31 | 0 | 288 | 2098662576 | 3904671462 | |||
(1)数据大小不包括IP首部和TCP首部的大小。
(2)除开始协商建立连接外,每一个sequence均等于上一sequence值加数据大小。开始协商的SYN标记要占用一个字节。
(3)1和2行数据设置了SYN标志。
(4)30和31行数据设置了FIN标志。
(5)每个数据都包括发送方数据的起始字节sequence和期待对方发送数据位置的Ack值。
5、程序说明:
(1) 该程序收集通过本机网卡的所有协议为TCP的IP包。
(2) 对于未加密的邮件内容,可以进行识别并获得邮件首部内容。
(3) 对于采集的数据包可以进行保存,文件名为scan.bin,也可以导入符合该格式的文件。数据格式请见源程序。
(4) 源程序中还包括其他功能,有些尚未完成,有兴趣的读者可以帮我完成和修改.
6、由于笔者水平有限,上述内容难免有错误和不足之处,欢迎批评指正,先谢了。
作者:肖进
单位:南京中萃食品有限公司 资讯部
邮件:xiaoj@njb.swirebev.com
564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
