9【协议分析】【推荐演示】【TCP传输控制协议分析】

1、第四章 传输层协议分析实验九TCP传输控制协议分析【实验目的】1、掌握TCP协议的报文形式。2、掌握TCP连接的建立和释放过程。3、掌握TCP数据传输中编号与确认的过程。4、理解TCP重传机制。【实验学时】2学时【实验环境】丈堑坏境中地坤配直仅恢爭考图4-9实验拓扑图【实验内容】1、学习UDP协议的通信过程。2、学习分析UDP协议报头字段含义#第四章 传输层协议分析【实验流程】理论览习图4-10实验流程图91第四章 传输层协议分析#第四章 传输层协议分析【实验原理】TCP报文段首部长度为 20-60字节，报文段首部格式如下图所示源端口地址4 6位冃的端口地址16位序号32位确认号号32位首部保

2、留u A p R s F 长度眛G K HN窗口值佃位校验和十庭位紧急指针16位选项和填充图4-11 TCP报文格式当没有选项和填充字段时，首部长度是20字节。其中个字段含义如下：z 源端口地址：长度为 16比特，定义了在主机中发送这个报文段的应用程序的端口 号，如应用程序为客户端，端口号通常为随机端口，如果应用程序为服务端，端口 号通常为熟知端口。z目的端口地址：长度为16比特，定义了在主机中接收报文段的应用程序的端口号。z 序号：长度为32比特，定义了本数据段中封装数据的的第一个字节的序号。在TCP的数据传输中，传输数据前随机产生一个数字，叫初始序号，初始序号分配给需要传输的第一个字节，此

3、后需要传输的数据在此基础上依次递增，因此需要传输的每个字节都有一个字节序号，TCP报头中序号字段放置的是本数据段中数据部分的第一个字节的序号。z 确认号：长度为32比特，定义了接收端希望从源端接收的报文段的序号，通常，接收端收到源端发送的数据后，将最后一个字节序号加1，定义为发送数据确认号发送给源端，表示此序号之前的数据均已收到。z 首部长度：长度为 4比特，定义了 TCP首部共有多少个 4字节，首部长度可以在 20-60字节之间，因此在当前版本中，首部长度的值可以在5-15之间。z 保留：长度为6比特，保留为今后使用。z 控制字段：长度为 6比特，定义了 6种不同的控制位或标识，其中z UR

4、G :紧急指针有效；z ACK :表示确认字段值有效；z PSH :推送数据；z RST :连接必须复位；z SYN :在连接建立是对序号进行同步；z FIN :终止连接。z 窗口值：长度为16比特，定义了对方必须维持的窗口值，可定义的最大窗口值为 65535 。z 校验和：长度为16比特，定义了 TCP首部、TCP伪首部、数据进行的校验和。z 紧急指针：当紧急标志位置1时，标识此数据包含紧急数据，紧急指针用于标识此数据段中的数据部分那些是紧急数据，紧急数据在接收端可以不按照顺序而被优先处理。z 选项：TCP选项字段用于把附加信息传递给目的端。【实验步骤】步骤一：设定实验环境1、配置主机IP和

5、路由器IP地址。2、按照实验拓扑连接网络拓扑。步骤二：查看分析TCP三次握手1、在PC2中安装FTP服务端程序。2、在PC1中开启协议分析软件，进行数据包抓包。3、 在PC1中的协议分析软件中利用工具栏中的TCP连接工具对PC2发起连接，如下 图所示。#第四章 传输层协议分析图4-12 TCP连接工具在IP地址中填入 PC2地址53 ,端口填入FTP服务端口 21，然后点击连接。 分析PC2中捕获到的三次握手报文。I u-：H| JU 1b I ZWNI.ITCOIKiI7Z JG Im.irysooii4 kiz is i n>* 13wilitan.W«

6、 W * I。咗 m 笙口 m 圖 Bmj44FD«CDaffi« BE 址 10 m EF AC D Pi W a w曲晡寿n>輕川R b B E坤曲 "吓 Fl on (D B D4 IM B4 DI DI (MBD D £TCPflHf Mwm II萼齐“謀* W4E-T祁"ju a*jx«* wmr I'flvplrrmiijsnmmrli l 裁 ii血 HRMH iv.h i ju曰U两 a Bn口 訂$ *.4 !W hb» J ': p-T»ft« ra .口浙*&#

7、171; "gnu jViflwro-T mr93第四章 传输层协议分析图4-13三次握手第一次连接查看上图TCP报文中的报头部分:z源端口： 1627，由于发起连接的是客户端，因此源端口为TCP程序随机出的短暂端口，在此连接中是 1627。z目的端口： 21，由于是向FTP服务发起连接，因此目的端口为FTP服务的熟知端口，为 21。z序列号：0XE9999DE15 ，此序列号为 TCP程序随机出的字节编号。z确认序号：0X00000000，第一个发出的连接请求中，确认号为0。z TCP 首部长度：7，TCP首部长度包括TCP报头长度和数据长度，这个字段表示 TCP报头长度，其中20

8、字节为标准TCP报头长度，另有8字节选项字段长度， 选项字段中和服务器端协商了最大报文段长度。z标识位：SYN位置1，只有TCP连接中三次握手第一次连接的报文段中SYN位置1。z 窗口大小：65535，默认大小。z校验和：0X58F3，校验和是对 TCP报头、数据和伪首部进行计算得出的校验和。z紧急指针：0,当紧急标识位置 1时，此16位字段才有效，说明此时报文段中包含紧急数据，紧急数据到达接受端后可以不按次序优先被接受程序处理。TCP三次握手过程中第二个报文如下图所示。- nDcniUiail|亠-TrWwTVl B卜* A5-jQOnXkin.KICMkl-VT i* JisiHammum

9、rnihAA |.nX4cim H 39«* 4-IB IERfrH 3 zn* tHinebi师鲜耳劇1吐尅艸IK； H 龙 US斗5十赢ri需ig 4>- Jiri.i Jr h a J:i".* flMS'3IWW»l?ZI*l 239饪些Tr* i*ba0-1 Min.1H h a .MiTM.Dhnmirti'r屋"樹耐 l-'T Lfel B3m1 W1 FP1U MR.ZI& 4HK0C00 DQ i « K 炖址曰皿 IE iK- M44 06 CO聒aaJ ” EDriUgW CL 30

10、03 FJ祐他型 06M 1CI ChFC恵!即!叹4殆口I f* >0 H3 U J9 4ft F3 FF H- DEl&JU IJ| V Fp kfj.rmrmn rr *r i' zBEBrurKPQiQiGLCTA4*軒吟fKF.VO X t -AS£Kr 丁卅图4-14 TCP三次握手第二个报文查看上图中的TCP报头:z源端口： 21，服务端的源端口为相关服务的熟知端口，FTP服务端口为TCP21z目的端口： 1627，为客户端源端口复制过来得到。z序列号：0X2346F3FF，为服务端随机计算出的字节序号。z确认序列号：0XE9999DE16 ，确认

11、序列号的功能是对发送端数据进行确认，为发送端序号0XE9999DE15+1 得到。z TCP 首部长度：7,包含20字节标准TCP首部长度和8字节选项长度。z标志位：SYN位和ACK位置1，表示此报文为 TCP三次握手的第二个报文。z 窗口大小：65535，为默认大小。z校验和：0X419C，TCP校验和为TCP首部、数据和伪首部三部分计算得出校验和。z紧急指针：0。TCP三次握手第三个报文如下图所示。+ J + LS.UWULhgiin.ll-.L2WuE.lib|i ie-.L£»hiTthtt+ 3JjJWJUA*|T2.lkBJS3-.m.ILLDV41l.'

12、;JWJU*172m.iki.i>7fb£*v nanWig| d-.LZJ9l.li-.L2S3Bl trrtyihuznm.ll-1 351的険亀vn* ?ei rnosim.ill as-m.iLi naintfraeMDwim.ii-1 hE K- 1 Kis阳气MI1 vi ra.IlLli Alm.iti nsl:n* litB4.9LdA5im.iiLii juimi tuni :AljJ>3gnzniD tn 框冨；雄 DE4AH1 礼略 MEZIEB 參 ODJEMWniiQ! IM*hP 世捧阳斡囲黑曰1 MQ tP 越tQl ID EB fft DQ

13、 4 E? « EE 4 23 4 F4 00 m IQ . . i|f * P样 H W 泌 8 划 aaB '.尊ft ®!*fc z旺 flwnfl.Du-iHc-4HHri 肛 UliEW0.H"胡阿u «A K£nu SWRHi «* JJI 啟 a* nwa：尹 in liw ifc.144#WFU #口 2 U fi-M：-i ,-| RRWI-ar'Mnitj"rtHJfc a* H g tti 丸+如脣 MitU H1Ug图4-15 TCP三次握手第三个报文查看TCP三次握手第三个报文首部z

14、源端口： 1627，同一个连接发送的数据，源端口保持不变。z 目的端口： 21，对同一个服务发送的数据段中的目的端口保持不变。z序列号：0XE9999DE，为前一个数据段序列号加1。z确认序号：0X2346F3FF，由于此报文是对服务端发回的连接应答消息的确认，因此是上一个报文序号 0X2346F3FF 加1。z TCP 首部长度：5，标准TCP首部长度为5*4字节=20字节。z标识位：TCP三次握手第三个报文段 ACK位置1。z 窗口大小：65535，默认窗口大小。z校验和：0X6E60，为TCP首部、数据、伪首部计算得出的校验和。z 紧急指针：0,未使用紧急指针。通过上面的TCP三次握手的

15、报文，可以很清楚的分析岀在 TCP连接建立时，客户端和 服务端所进行的工作。三次报文的重要区别在于标识位的不同，第一个报文，SYN位置1,第二个报文是对第一个报文的确认，SYN位置1，ACK位置1，第三个报文是确认报文，ACK位置1。步骤三：查看分析TCP确认机制1、在PC1中开启协议分析软件进行数据包捕获。2、 在PC1协议分析软件工具栏中的TCP连接工具中连接到 PC2的FTP服务器并发 送dir命令，如下图所示。图4-16 发送FTP命令3、分析捕获到的FTP数据包，如下图所示一 bkLbDDtKll72.i6d.23S”7J.辰 L.2S3畤1直肌呦05172,164-253146-1

16、.23?时* 2乱僅曲也!|72.*.25?1R.K6.L.253rdWiS-a* 34ZZ.L4L00QfI7Z.1A.Z»172.L6.L.Z53TO=flSfiL19呻+422. L+LDOte97ZJ.6J.75317ZL6.L.Z39TCFfl&LDO* S422.1.4LDOO&狎26J.23J72.Lb.L.2S3TCPffi椀.| 良厦石号号. 加CbB：OQa：CBDDIE BC A5 D6 4IA (00X10002D驅AE如UHhocaMcooD1FD CH ?3 Da 15h03000C£30FF01 BG 42 00 00北関72

17、OD 0A00IBFC AE AE E2®00 45 00.0Q06* 10 AC 1001EF AG W-X7257HE 5D EC 3F1AFD ® 18.9.&r W. I ?. dir.3 E.JBME：ww砒;m回 生17时何T11_;L3B上罢恂改类Si酒笹 1?：OK4IO玄卧电址跷W绷 申 0SlPt*J±d72.Lta.l.ZS3 呂 y rcp<3初口債3目耐| 口凯却刘号:0«殆7BMD 由IIU爭列但贬沖些口 KPWBfeJI；! 惊吉匱:FUSHIMt国宵 口 Xh#M730畦和:3&皿回包TF雅&

18、图4-17 发送FTP命令分析上图中TCP数据段首部，可以看到序列号为 0X7257BB5D，数据部分长度为5字 节。再查看从PC2会返回的确认数据段，如下图所示。95第四章 传输层协议分析97第四章 传输层协议分析ft? E!哥包换C厚导|的洞遲tt址LT2J 6J.ZSJ72La&.l2S3L72.ft.Z3?L72JCl3.£»172-36.11-253L 72.36 .255lail-239TCPWiCj!®L 坨6U.E39113&.125340 06DIFu ftv：72 57 BB E2TbRliS 爲TCP的取观TCPtfiiaSS

19、C 3F36 30GE 64E4 0DAi e? oe 低40叵l启屁#眄际艮D妙T &H2国労理Ut程:心O空厚时I冃TTl®o 止崖加:姑址i理|.鼠|.药3 匸'日抹lPtUjtHT21】&!l_23fl匚曰 59 AC 1D DI FD AC ID . K . G b: ib .0 畴口;21 呼目扮耳口曲ire 少序刊号:0K6C3FLi3f|j /趣斜哪|什迥8ij KPwBftflF? 特龙 EI：H_ISH|AOi Q包口大申：63Z5楼花钢WTRO© W ：0®iM L FTPlW；电即HI询f|卷.祐.1.觀氐 DLfi

20、OCOs&.0LWCG5ZZ.HLDOQSl22.4LOtft1324LDOOSj <10000000 :hiZDOZMID )kDOOQOD20 100000030 )aran 船 IkOOXHBOD1EF01SDB39FFF5器88DO002063GFSO6D61E6T27374BFEF1B FC A64B 06 471A FD30 20 2749 52 27 3A .20 6E 6F 71 20 75 6E S4 commaDA图4-18 TCP确认报文查看上图中TCP 数据段的报头部分，确认序号为0X7257BB62,因为0X7257BB5D+5=0X7257BB62，因

21、此，此确认序号的含义为上一个发送的TCP数据段信息全部处理，发送端可以发送 0X7257BB62以后的数据，此即是 TCP确认机制的过程。步骤四：查看TCP连接超时重传过程1、查看PC1中ARP缓存记录，确保有 PC2中ARP记录，如下图所示G： Documents and Set t ingsftdminis tratorarp -aInterface： 39 0x2Internet AddressPhysical AddressType00-d0-f8-b5-14-8ddnanic172.1G.1.167BH-d0-f8-«b-d2-e25300 le 9c aG dS 4ad</nanic图4-19查看PC1中ARP缓存记录2、将PC2从网络中断开，确保 PC2不会对PC1发送的TCP连接请求进行回应。3、在PC1中开启协议分析软件，进行数据包捕获。4、 在