protocol_analysis(协议分析)参考

1、rotocol_analysis(协议分析)protocol_analysis(协议分析)protocol_analysis(协议分析)协议分析 ARP协议解码详解ARP协议简介ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就

2、是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。ARP和RARP报头结构ARP和RARP使用相同的报头结构，如图1所示。硬件类型协议类型硬件地址长度协议长度操作类型发送方的硬件地址（0-3字节）源物理地址（4-5字节）源IP地址（0-1字节）源IP地址（2-3字节）目标硬件地址（0-1字节）目标硬件地址（2-5字节）目标IP地址（0-3字节）（图1ARP/RARP报头结构）硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1；协议类型字段指明了发送方提供的高层协议类型，IP为0800（16进制）；硬件地址长度和协议长度指明

3、了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；操作字段用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节；发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节；发送方IP（0-1字节）：源主机硬件地址的前2个字节；发送方IP（2-3字节）：源主机硬件地址的后2个字节；目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节；目的硬件地址（2-5字节）：目的主机硬件地址的后4个字节；目的IP（0-3字节）：目的主机的IP地址。ARP和RARP的工作原理

4、ARP的工作原理如下：首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端

5、的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址； 源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。RARP的工作原理如下：发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地

6、址；如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；如果不存在，RARP服务器对此不做任何的响应；源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。解码详解了解了ARP和RARP协议的报头结构和工作原理后，我们使用科来网络分析系统抓取ARP包，其详细解码，如图1，（图1科来网络分析系统中ARP请求包详细解码）图1显示是一个ARP的请求包的解码，下面我们来详细说明：硬件类型：1，表示硬件借口类型为以太网类型协议类型：0 x0800，表示发送方提供的高层协议类型是IP硬件地址长度：表示

7、硬件地址长度为6字节=48位协议地址长度：表示IP地址长度为4字节=32位操作类型：1，表示ARP请求源物理地址：00:14:85:CA:F5:22源IP地址：2目标物理地址：00:00:00:00:00:00目标IP地址：08ARP回应包和RARP的包类似，我们在这里就不再重复说明。协议分析 DHCP协议解码详解DHCP协议简介DHCP，全称是DynamicHostConfigurationProtocol中文名为动态主机配置协议，它的前身是BOOTP，它工作在OSI的应用层，是一种帮助计算机从指定的DHCP服务器获取它们的配置信息的自举协议。DHCP使用客户端/服务器模式，请求配置信息的计

8、算机叫做DHCP客户端，而提供信息的叫做DHCP的服务器。DHCP为客户端分配地址的方法有三种：手工配置、自动配置、动态配置。DHCP最重要的功能就是动态分配。除了IP地址，DHCP分组还为客户端提供其他的配置信息，比如子网掩码。这使得客户端无需用户动手就能自动配置连接网络。DHCP的工作流程发现阶段，即DHCP客户机寻找DHCP服务器的阶段。DHCP客户机以广播方式（因为DHCP服务器的IP地址对于客户机来说是未知的）发送DHCPdiscover发现信息来寻找DHCP服务器，即向地址55发送特定的广播信息。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才

9、会做出响应。提供阶段，即DHCP服务器提供IP地址的阶段。在网络中接收到DHCPdiscover发现信息的DHCP服务器都会做出响应，它从尚未出租的IP地址中挑选一个分配给DHCP客户机，向DHCP客户机发送一个包含出租的IP地址和其他设置的DHCPoffer提供信息。选择阶段，即DHCP客户机选择某台DHCP服务器提供的IP地址的阶段。如果有多台DHCP服务器向DHCP客户机发来的DHCPoffer提供信息，则DHCP客户机只接受第一个收到的DHCPoffer提供信息，然后它就以广播方式回答一个DHCPrequest请求信息，该信息中包含向它所选定的DHCP服务器请求IP地址的内容。之所以要

10、以广播方式回答，是为了通知所有的DHCP服务器，他将选择某台DHCP服务器所提供的IP地址。确认阶段，即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户机回答的DHCPrequest请求信息之后，它便向DHCP客户机发送一个包含它所提供的IP地址和其他设置的DHCPACK确认信息，告诉DHCP客户机可以使用它所提供的IP地址。然后DHCP客户机便将其TCP/IP协议与网卡绑定，另外，除DHCP客户机选中的服务器外，其他的DHCP服务器都将收回曾提供的IP地址。重新登录，以后DHCP客户机每次重新登录网络时，就不需要再发送DHCPdiscover发现信息了，而是直接发送

11、包含前一次所分配的IP地址的DHCPrequest请求信息。当DHCP服务器收到这一信息后，它会尝试让DHCP客户机继续使用原来的IP地址，并回答一个DHCPACK确认信息。如果此IP地址已无法再分配给原来的DHCP客户机使用时（比如此IP地址已分配给其它DHCP客户机使用），则DHCP服务器给DHCP客户机回答一个DHCPNACK否认信息。当原来的DHCP客户机收到此DHCPNACK否认信息后，它就必须重新发送DHCPdiscover发现信息来请求新的IP地址。更新租约，DHCP服务器向DHCP客户机出租的IP地址一般都有一个租借期限，期满后DHCP服务器便会收回出租的IP地址。如果DHCP

12、客户机要延长其IP租约，则必须更新其IP租约。DHCP客户机启动时和IP租约期限过一半时，DHCP客户机都会自动向DHCP服务器发送更新其IP租约的信息。DHCP的报文格式我们来介绍一下DHCP的报文格式，如图1，OP(1)Htype(1)Hlen(1)Hops(1)Transaction ID(4)Seconds(2)Flags(2)Ciaddr（4）Yiaddr（4）Siaddr（4）Giaddr（4）Chaddr（16）Sname（64）File（128）Options（variable）（图1 DHCP的 报文格式）OP：若是client送给server的封包，设为1，反向为2；Hty

13、pe：硬件类别，ethernet为1；Hlen：硬件长度，ethernet为6；Hops：若数据包需经过router传送，每站加1，若在同一网内，为0；Transaction ID：事务ID，是个随机数，用于客户和服务器之间匹配请求和相应消息；Seconds：由用户指定的时间，指开始地址获取和更新进行后的时间；Flags：从0-15bits，最左一bit为1时表示server将以广播方式传送封包给 client，其余尚未使用；Ciaddr：用户IP地址；Yiaddr：客户IP地址；Siaddr：用于bootstrap过程中的IP地址；Giaddr：转发代理（网关）IP地址；Chaddr：cli

14、ent的硬件地址；Sname：可选server的名称，以0 x00结尾；File：启动文件名；Options：，厂商标识，可选的参数字段解码信息通过DHCP的 工作流程，我们知道从DHCP服务器获取配置信息的4个阶段中，DHCP客户端会出现有4种报文（DHCPDISCOVERY，DHCPOFFER，DHCPREQUEST，DHCPACK）。我们分别来看看4报文的解码内容：发现阶段使用科来网络分析系统捕获DHCP DISCOVERY 数据包，如图2，（图2 DHCP DISCOVERY数据包解码）由图2可以看到DHCP DISCOVERY包的解码信息，由于DHCP是BOOTP的以个扩展，DHCP

15、兼容BOOTP，我们可以看到BOOTP和DHCP的解码。提供阶段使用科来网络分析系统捕获DHCP OFFER数据包，如图3，（图3 DHCP OFFER数据包解码）选择阶段使用科来网络分析系统捕获DHCP REQUEST数据包，如图4,(图4 DHCP REQUEST数据包解码)确认阶段使用科来网络分析系统捕获DHCP ACK数据包，如图5,(图5 DHCP ACK数据包解码)以上为DHCP工作的4种数据包，每种数据包都是有区别的。协议分析 ICMP协议解码详解ICMP协议简介ICMP全称Internet Control Message Protocol，中文名为因特网控制报文协议。它工作在O

16、SI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。网络本身是不可靠的，在网络传输过程中，可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议，它不会处理网络层传输中的故障，而位于网络层的ICMP协议却恰好弥补了IP的缺限，它使用IP协议进行信息传递，向数据包中的源端节点提供发生在网络层的错误信息反馈。ICMP的报头长8字节，结构如图1所示。比特0 78 15 16 比特31类型（0或8）代码（0）检验和为使用数据（图1ICMP报头结构）类型：标识生成的错误报文，它是ICMP报文中的第一个字段；代码：进一步地限定生成ICMP报文。该字段用来查

17、找产生错误的原因；校验和：存储了ICMP所使用的校验和值。未使用：保留字段，供将来使用，起值设为0数据：包含了所有接受到的数据报的IP报头。还包含IP数据报中前8个字节的数据；ICMP协议提供的诊断报文类型如表1所示。类型描述0回应应答（Ping应答，与类型8的Ping请求一起使用）3目的不可达4源消亡5重定向8回应请求（Ping请求，与类型8的Ping应答一起使用）9路由器公告（与类型10一起使用）10路由器请求（与类型9一起使用）11超时12参数问题13时标请求（与类型14一起使用）14时标应答（与类型13一起使用）15信息请求（与类型16一起使用）16信息应答（与类型15一起使用）17地

18、址掩码请求（与类型18一起使用）18地址掩码应答（与类型17一起使用）（表1ICMP诊断报文类型）ICMP提供多种类型的消息为源端节点提供网络层的故障信息反馈，它的报文类型可以归纳为以下5个大类：诊断报文（类型8，代码0；类型0，代码0）；目的不可达报文（类型3，代码0-15）；重定向报文（类型5，代码0-4）；超时报文（类型11，代码0-1）；信息报文（类型12-18）。详细解码使用科来网络分析系统捕获数据包，我们得到ICMP回显报文的信息，如图1所示，（图1 科来网络分析系统抓取的ICMP回显报文）我们详细介绍在图1中的解码信息，类型：8，表示是一个ICMP回显请求报文；代码：0，表示网络

19、不可达；校验和：表示ICMP的0 x425C；使用IP校验和的算法。标识：0 x0400序列号：0 x0700，每一个ICMP回显报文都有一个序列号且是递增的数据：表示是一个32字节的数据注：以上是一个ICMP回送报文，可以看出了和前面列出的ICMP报文有点不一样。因为ICMP有几种类型的报文（目标不可达报文，重定向报文，超时报文，回送请求和回送应答报文），每一种报文都相对都有一些区别，这里我们就不在特别介绍。协议分析 IP协议解码详解IP协议简介IP，全称Internet Protocol，中文名叫因特网协议，它工作在OSI的网络层，它负责将数据传输到正确的目的地，同时也负责路由。无论传输层

20、使用何种协议，都要依赖IP来发送和接受数据。IP提供一种无连接的传输机制，这就意味着在网络传输的每个数据报都作为独立的单元来对待。IP并不维护服务器和客户端之间的连接细节。IP不能保证数据传输的可靠性。然而，这些并不意味着分组将被毫无规则的忽略，而是仅在网络出现故障时才会发生数据丢失。下面我们来介绍一下IP数据报的格式、IP数据报格式，如图1，版本头部长度服务类型总长度标识分段标志分段偏移量生存时间协议校验和源地址目标地址选项填充数据（图1 IP数据报的格式）版本：用于传输数据的IP版本，大小为4位；头部长度：用于规定报头长度；服务类型：用于设置数据传输的优先权或者优先级，其大小为8位；总长度

21、：指出数据报的总长，数据报总长=报头长度+数据长度，大小为16位；标识：用于标识所有的分段，大小为16位；分段标志：确定一个数据报是否可以分段，同时也指出当前分段后面是否还有更多分段，大小为3位；分段偏移量：由目标计算机用于查找分段在整个数据报中的位置，大小位13位；生存时间：设置数据报可以经过的最多路由器数。长度为8位；协议：指定用于创建数据字段中的数据的上层协议，大小为8位；校验和：检查所传输数据的完整性，大小为16位；源地址：源IP地址，字段长度为32位；目标地址：目标IP地址，字段长度为32位；选项：不上一个必须的字段，字段长度具体取决于所选择的IP选项； 数据：包含网络中传输的数据，

22、IP数据报还包括上层协议的报头信息；解码详解使用科来网络分析系统捕获IP数据包，其详细解码如图2，（图2 科来网络分析系统中IP数据包的详细解码）图2为科来网络分析系统中IP数据包的详细解码，下面我们来分别说明IP数据包的解码信息：版本：4，表示当前网络中为IPv4；头部长度：4，表示IP报头长度为5x4=20字节；服务类型：0，表示当前IP数据包中没有使用服务类型字段；总长度：40，表示该数据报总长为40字节；标识：表示该数据报的标识为0 x41AB（16进制）；分段标志：第二位为1，表示该数据报不能被分段，分段偏移量：由于没有被分段，所以该分段便偏移量为0；生存时间：表示该数据报最多可以经

23、过128个路由；上层协议：6代表TCP协议；校验和：该数据报校验和为0 x36A8（正确），表示该数据报是完整的；源IP地址：08；目标IP地址：2；选项：表示该数据报没有选项字段；协议分析 PPPOE Discovery协议解码详解PPPOE协议介绍PPPOE，全称Point-to-Point Protocol Over Ethernet,它工作在OSI的数据链路层，PPPOE协议提供了在广播式的网络（如以太网）中多台主机连接到远端的访问集中器（我们对目前能完成上述功能的设备为宽带接入服务器）上的一种标准。PPPOE的工作原理PPPOE协议共包括两个阶段，即PPPOE的发现阶段（PPPOE

24、Discovery Stage）和PPPOE的会话阶段（PPPOE Session Stage）。而两者的主要区别在于只是在PPP的数据报文前封装了PPPOE的报文头。当一个主机希望能够开始一个PPPOE会话时，它首先会在广播式的网络上寻找一个访问集中器，当然可能网络上会存在多个访问集中器时，对于主机而言则会根据各访问集中器（AC，Access Concentration）所能提供的服务或用户的预先的一些配置来进行相应的选择。当主机选择完了所需要的访问集中器后，就开始和访问集中器建立一个PPPOE会话进程。在这个过程中访问集中器会为每一个PPPOE会话分配一个唯一的进程ID，会话建立起来后就开

25、始了PPPOE的会话阶段，在这个阶段中已建立好点对点连接的双方（这种点对点的结构与PPP不一样，它是一种逻辑上的点对点关系）就采用PPP协议来交换数据报文，从而完成一系列PPP的过程，最终将在这点对点的逻辑通道上进行网络层数据报的传送。PPPOE的数据报文格式我们简要介绍一下PPPOE的数据报文格式。PPPOE的数据报文是被封装在以太网帧的数据域内的。简单来说我们可能把PPPOE报文分成两大块，一大块是PPPOE的数据报头，另一块则是PPPOE的净载荷（数据域），对于PPPOE报文数据域中的内容会随着会话过程的进行而不断改变。下图1为PPPOE的报文的格式：版本类型代码会话ID长度域净载荷（或

26、数据域）（图1 PPPOE数据报格式）PPPOE数据报文最开始的4位为版本域，协议中给出了明确的规定，这个域的内容填充0 x1。紧接在版本域后的4位是类型域，协议中同样规定，这个域的内容填充为0 x1。代码域占用1个字节，对于PPPOE 的不同阶段这个域内的内容也是不一样的。 会话ID点用2个字节，当访问集中器还未分配唯一的会话ID给用户主机的话，则该域内的内容必须填充为0 x0000，一旦主机获取了会话ID后，那么在后续的所有报文中该域必须填充那个唯一的会话ID值。长度域为2个字节，用来指示PPPOE数据报文中净载荷的长度。数据域，有时也称之为净载荷域，在PPPOE的不同阶段该域内的数据内容

27、会有很大的不同。在PPPOE的发现阶段时，该域内会填充一些Tag（标记）；而在PPPOE的会话阶段，该域则携带的是PPP的报文。这里我们主要来介绍一下PPPOE发现阶段的报文格式以及它的报文：PPPOE数据报文中Tag（标记）的格式对于发现阶段的PPPOE数据报文而言，它的净载荷可能包含零个或多个Tag（标记），实际上这些标记的意义非常类似于PPP配置参数选项，它同样也是要经过协商的。对于PPPOE协议而言，没有像PPP的配置参数选项那样定义了很多细节，而只是一个初略的定义，因此在实际当中实现这个过程会依据不同厂商的设备有不同。首先还是让我们看一下承载在PPPOE报文数据域中的标记封装格式，如

28、图2，类型长度数据（图2 标记的封装格式）从图2中可以看出，标记的封装格式采用的是大家所熟知的TLV结构，也即是（类型+长度+数据）。标记的类型域为2个字节，下表列出了各种标记类型的含义：标记类型标记说明0 x0000表示PPPOE报文数据域中一串标记的结束，为了保证版本的兼容性而保留，在有些报文中有应用。0 x0101服务名，主要用来表明网络侧所能提供给用户的一些服务。0 x0102访问集中器名，当用户侧接收到了AC的回应的PADO报文时，就可获从所携带的标记中获知访问集中器的名子，而且还可以据此来选择相应的访问集中器。0 x0103主机唯一标识，类似于PPP数据报文中的标识域，主要是用来匹

29、配发送和接收端的，因为对于广播式的网络中会同时存在很多个PPPOE的数据报文。0 x0104AC-Cookies，主要被用来防止恶意性DOS功击。0 x0105销售商的标识符。0 x0110中继会话ID，对于PPPOE的数据报文也同样可以像DHCP报文一样被中断到另外的AC上终结，这个字段则是用来维护另一个连接的。0 x0201服务名错误，当请求的服务名不被对端所接受时，会在响应的报文中携带这个标记。0 x0202访问集中器名出错。0 x0203一般性错误。标记的长度域为2个字节，它用来指明标记数据域的长度。标记的数据域中用来放置不同类型标记所对应的相关数据。PPPOE发现阶段的数据报文PPP

30、OE的发现阶段可分为四步，其实这个过程也是PPPOE四种数据报文的交换的一个过程。当完成这四步后，用户主机与访问集中器双方就能获知对方的MAC地址和唯一的会话ID号，从而进入到下一个阶段（PPPOE的会话阶段）。实际上双方在互相知道了对方的MAC地址后，就已经在广播式的网络上确定了一一的对应关系，为了保证这个连接的有效性，同时使PPPOE协议能更加灵活的运用，因此还加入了会话ID字段，通过这两个条件就可完成确定双方点对点的关系。在这个阶段一开始，由于接入用户并不知道访问集中器的MAC地址，则使用类似于ARP解析的过程的机制来获取访问集中器的MAC地址。首先由接入用户侧发起一个初始化的广播报文，

31、对于访问集中器如果配置了PPPOE的业务时，它会时实检测网络上的数据包，当发现以太网数据帧中所承载的是PPPOE报文时（通过协议域的内容来区分），就会将其交给相应的模块去处理。当收到初始化报文后，访问集中器会向该用户回应一个报文。如果网络上存在很多这样的访问集中器且都收到了用户侧发送的初始化报文时，它们也都会向用户侧会送一个确认报文，如果该用户收到这个报文后，则会依据报文中所携带的内容或本端的一些配置来选择一个唯一的访问集中器进行会话。到此时已完成了前两步了，那么剩下的两步则是协商一些所提供的服务选项和获取PPPOE会话阶段所必须的会话ID值。说明：在这个阶段，所有数据报文是被承载在以太网的数

32、据域中的，而且以太网数据帧的协议域始终为0 x8863。在PPPOE发现阶段的四步的过程中，PPPOE会遇到PADI、PADO、PADR和PADS这四种报文。PPPOE中的PADT报文是用来终止一条会话的。PADI（PPPOE Active Discovery Initiation）报文PPPOE发现阶段的第一步，也即是由用户侧首先发送这样一个报文。用户主机是以广播的方式发送这个报文，所以该报文所对应的以太网帧的目的地址域应填充为全1，而源地址域填充用户主机的MAC地址。广播包可能会被多个访问集中器接收到。 PADO（PPPOE Active Discovery Offer）报文PPPOE发现

33、阶段的第二步，也即是由访问集中器回应各用户主机发送的PADI报文，此时该报文所对应的以太网帧的源地址填充访问集中器的MAC地址，而目的地址则填充从PADI中所获取的用户主机的MAC地址。PADR（PPPOE Active Discovery Request）报文PPPOE发现阶段的第三步，也即是由用户主机向访问服务器发送单播的请求报文。当用户主机收到PADO报文后，会从这些报文中挑选一个访问集中器作为后续会话的对象。由于用户主机在收到PADO报文后，就获知了访问集中器的MAC地址，因此PADR报文所以应的以太网帧的源地址填充用户主机的MAC地址，而以太网的目的地址填充为访问集中器的MAC地址。

34、PADS（PPPOE Active Discovery Session-confirmation）报文PPPOE发现阶段的第四步，也即是最后一步，此时访问集中器当收到PADR报文时，就准备进入开始一个PPP的会话了，而此时访问集中器会为在这个会话分配一个唯一的会话进程ID，并在发送给主机的PADS报文中携带上这个会话ID。当然如果访问集中器不满足用户所申请的服务的话，则会向用户发送一个PADS报文，而其中携带一个服务名错误的标记，而且此时该PADS报文中的会话ID填充0 x0000。PADT（PPPOE Active Discovery Terminate）报文PADT报文可能在会话进行开始之

35、后的任意时间内被发送，主要是用来终止一个PPPOE会话的止。它可以由主机或访问集中器发送，目的地址填充为对端的以太网的MAC地址PPPOE Discovery详细解码我们使用科来网络分析系统捕获PPPOE数据包，如图3，（图3 PPPOE Discovery的详细解码）查看科来网络分析系统中的详细解码，可以看出这是PPPOE发现阶段的第一步的PADI报文，我们来详细说明：版本：1，协议中给出了明确的规定，这个域的内容填充0 x1。类型：1协议中也给了明确的规定，这里也职能填充0 x1代码：0 x09，表示该报文是发现阶段的 PADI报文会话ID：0，表示还没有会话ID长度：16，表示PPPOE

36、数据报文中净载荷的长度PPP发现标记：在面我们列出的标记类型表可以看出以上主要是对PPPOE Discovery协议及详细解码的介绍。协议分析 TCP协议解码详解TCP协议简介TCP，全称Transfer Control Protocol，中文名为传输控制协议，它工作在OSI的传输层，提供面向连接的可靠传输服务。TCP的工作主要是建立连接，然后从应用层程序中接收数据并进行传输。TCP采用虚电路连接方式进行工作，在发送数据前它需要在发送方和接收方建立一个连接，数据在发送出去后，发送方会等待接收方给出一个确认性的应答，否则发送方将认为此数据丢失，并重新发送此数据。下面我们来介绍一下TCP的报头结构

37、和相关工作原理：TCP报头TCP报头总长最小为20个字节，其报头结构如下图（图1）所示；比特0 比特15 比特16 比特31源端口（16）目的端口（16）序列号（32）确认号（32）TCP偏移量（4）保留（6）标志（6）窗口（16）校验和（16）紧急（16）选项（0或32）数据（可变）（图1TCP报头结构）源端口：指定了发送端的端口目的端口：指定了接受端的端口号序号：指明了段在即将传输的段序列中的位置确认号：规定成功收到段的序列号，确认序号包含发送确认的一端所期望收到的下一个序号TCP偏移量：指定了段头的长度。段头的长度取决与段头选项字段中设置的选项保留：指定了一个保留字段，以备将来使用标志：SYN、ACK、PSH、RST、URG、FIN SYN：表示同步 ACK： 表示确认 PSH： 表示尽快的将数据送往接收进程 RST： 表示复位连接 URG： 表示紧急指针 FIN： 表示发送方