实验报告用Ethereal捕获并分析TCP数据包.doc

——用Ethereal捕获并分析数据包 学 院：计算机工程学院 专 业：计算机科学与技术 姓 名：张徽 学 号：2008404010135 TCP报文格式分析 TCP提供一种面向连接的、全双工的、可靠的字节流服务。在一个TCP连接中，仅有两方进行彼此通信。广播和多播不能用于TCP。TCP的接收端必须丢弃重复的数据。TCP对字节流的内容不作任何解释。对字节流的解释由TCP连接双方的应用层解释。TCP通过下列方式来提供可靠性：应用数据被分割成TCP认为最适合发送的数据块，称为报文段或段。TCP协议中采用自适应的超时及重传策略。TCP可以对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。TCP的接收端必须丢弃重复的数据。TCP还能提供流量控制。 TCP数据报的发送过程 图 TCP数据报的格式 源端口：占16比特（2个字节），分段的端口号； 目的端口：占16比特（2个字节），分段的目的端口号；端口是传输层与应用层的服务接口。传输层的复用和分用功能都要通过端口才能实现序号字段占4字节。TCP连接中传送的数据流中的每一个字节都编上一个序号。序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。确认号字段占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。数据偏移占4，它指出TCP报文段的数据起始处距离 CP报文段的起始处有多远。“数据偏移”的单位不是字节而是32bit字（4字节为计算单位）。保留字段占6bit，保留为今后使用，但目前应置为0。 编码位 含义 紧急比特URG当URG＝1时，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。确认比特ACK只有当ACK＝1时确认号字段才有效。当ACK＝0时，确认号无效。复位比特RST(Reset)当RST＝1时，表明TCP连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。同步比特SYN同步比特SYN置为1，就表示这是一个连接请求或连接接受报文。复位比特RST(Reset)当RST＝1时，表明TCP连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。终止比特FIN用来释放一个连接。当FIN＝1时，表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。窗口字段占2字节。窗口字段用来控制对方发送的数据量，单位为字节。TCP连接的一端根据设置的缓存空间大小确定自己的接收窗口大小，然后通知对方以确定对方的发送窗口的上限。检验和占2字节。检验和字段检验的范围包括首部和数据这两部分。在计算检验和时，要在TCP报文段的前面加上12字节的伪首部。紧急指针字段占16bit。紧急指针指出在本报文段中的紧急数据的最后一个字节的序号。选项字段长度可变。TCP首部可以有多达40字节的可选信息，用于把附加信息传递给终点，或用来对齐其它选项。填充字段这是为了使整个首部长度是4字节的整数倍。 图 TCP数据包 具体分析如下： 捕获的数据包默认按照时间的顺序全部显示在窗口中，窗口的选项从左到右分别是：包序号（NO.）、时间（Time,单位为秒）、数据包的源IP地址（Source）、数据包的目的IP地址（Destination）、协议类型(Protocol)、包信息概述（Info）。 上述包分析如下： 包号是1；当前包到达时间距离第一个包到达的时间是0.000000秒（当前包就是第一个到达）；包的源IP地址是192.168.8.124；包的目的IP地址是1.59.22.255，由于是TCP协议，所以一个地址应该是本地计算机地址（本人计算机的IP地址是192.168.8.124），该源IP地址就是本地机器地址；协议类型TCP协议；最后一栏显示的是源端口号，目的端口号，以及编码位信息。 图 协议树窗口 上面是一个协议树窗口。协议树窗口显示的协议层次与网络协议的层次对应，下面是上面这个例子的对应关系： 树节点名称 对应的协议层次 说明 Frame 帧 Ethernet II 数据链路层 以太网协议 Internet Protocol 网络层 IP协议 Transmission Control Protocol 传输层 TCP协议 每个树节点下的都是该数据包在该层的具体参数和数据。要了解每个树节点的含义需要熟读TCP/IP协议簇。这里要记住一点，从应用层到最低层，通过逐渐添加数据包头来完成的，在数据链路层有一个尾部。这里仅仅举两个例子：IP协议节点、TCP协议节点。 注意：帧这层没有对应的网络层，实际上该层是Ethernet为了管理自己建立的，其中的帧序号通常是显示过虑条件的重要参数。 （以下图片全部通过Ethernet捕获数据包，然后用QQ中的截图功能