tcp段格式分析,wireshark抓包分析tcp三次握手
首先第一个问题是为什么是三次握手而不是2次或者4次呢,其实一个很好的理解办法是:
A:你听得到吗?
B:我听得到,你呢?
A:我听得到,我们开始聊天吧。
就是需要确保双方都确定对方听得到自己。
谢希仁的书里是这样解释三次握手的:为了避免一种延迟的现象:假如A(client)发出第一个报文的途中突然滞留了,并没有丢失,一段时间后到达了B(server),然而这个报文段早已失效,假如采用2次握手的话,server端接收到该报文就建立起了连接,然后等待client发送消息,然而client并不会这样,连接就这样保持着,白白浪费资源。
首先看这张图:
Tcp是处于传输层的协议,对应的数据格式是段:segment ,所以严格来说是不能称作TCP报文,而应该叫做TCP段。传输层接受来自应用层数据流的数据,将其划分为块,并添加TCP报头,然后将TCP段封装到网络层协议(IP)的数据报中。 所谓的Ip+Port标识某个具体应用,Port就是由TCP包头填充的,而IP是由IP包头填充的。所以千万不要以为TCP段中会包含目标机器的IP。我们看一下TCP段的具体格式。
可以看到,数据包的格式由Header+Data组成。前4个字节是源端口和目的端口 ,接下来的8个字节,Sequence Number:传输数据过程中,为每一个封包分配一个序号,保证网络传输数据的顺序性 Acknowledgment Number:用来确认确实有收到相关封包,内容表示期望收到下一个报文的序列号,用来解决丢包的问题 。需要确定的一点是:ack = seq + len(data的长度) + 1; 紧接着的4个字节:Data offset:由于首部可能含有可选项内容,因此TCP报头的长度是不确定的,所以该字段表明了数据区在报文段中的起始偏移值。
Reserved是保留位,接下来的6个bit就是比较重要的control bit了,一个bit代表一种,可以理解为一种bool类型:
• SYN - Initiates a connection:建立连接
• ACK - Acknowledges received data:确认收到数据
• FIN - Closes a connection:关闭连接
• RST - Aborts a connection in response to an error,Reset the connection
• PSH: Push function. Asks to push the buffered data to the receiving application.
• URG: indicates that the Urgent pointer field is significant
可能对于PSH,URG需要讲一下,要讲这个就需要先提一下TCP的缓冲区,看下图就一目了然:
也就是说TCP传输数据并不是上游来一个byte数据,我就进行一次传输,为了性能考虑,TCP是有buffer机制的。
而这两个标志位的不同之处就在于:
PSH: The sending application informs TCP that data should be sent immediately,意为立马推送这些在缓冲区的数据。
URG:这个标志位是要和上图中的Urgent Pointer结合的,Urgent Pointer是一个正的偏 移量,和序号字段中的 值相加表示紧急数据最 后一个字节的序号。 第一个字节到紧急指针 所指字节就是紧急数据。 URG的意思就是数据段中的紧急数据不进入缓冲区就直接交给上层进程而余下数据 则要进入接收缓冲区。
接下来看一张经典的图:
三次握手的流程图,切记Ack的意思就是我希望收到的下一个报文的序列号,ack = seq + len + 1。简单的看一下这张图,当客户端的Seq=X时,服务端回复Ack=X+1,这说明第一个报文的data是空的,三次握手的第一次当然是不需要传送任何数据的,直接看wireshark的抓包结果:
抓包结果结合前面的TCP段格式,展示了握手的前两次TCP段数据,可以看到Len都是=0,也就是data部分是空的,所以ack=前一个段的seq+1。注意图的上半部分seq等值都是相对数据,看下半部分的数据,以16进制表现。
其实tcp的整个流程是非常复杂的,真正的传输并不是所谓的每发一次就做一次应答,而是采用了效率更高但是也更复杂的窗口机制,而这一切的核心就是如何去确保:可靠的传输,怎么去设计重传机制等等。
很多自定义的通信也是完全可以仿照tcp的思想的,例如所谓的seq,ack的设计,一次性应答多个报文来提高效率的机制(滑动窗口)。