最新tcp数据包分析资料

1、沈阳工程学院学生实验报告实验室名称：信息学院网络实验室实验课程名称：计算机网络实验项目名称：实验三传输层 TCP协议的分析班 级： 通信132 姓 名：孙伟 学 号：2013312216实验日期：2015年11月24日实验台编号：16指导教师：张小瑞 杨盛成绩:批阅教师（签字）：实验目的TCP协议内容掌握传输层TCP协议分析方法，了解传输层实验内容捕获传输层TCP协议数据并分析传输协议原理实验前的准备了解传输层TCP协议的数据单元格式 了解传输层TCP协议规程 熟悉至少一种网络抓包软件的使用方法。实验要求及实验软硬件环境【基本要求】按实验内容进行知识准备 按照预订实验步骤操作，并记录实验结果

2、分析实验记录，并得出结论 完成此项实验，完成实验报告。【实验组织方式】个人实验【实验条件】微机与网络环境。实验步骤步骤1.建立实验模型：ServerO步骤2.配置IP地址，利用PCO向各个PC发送连接请求。确保联通无误Command. PromptPingiEig 192.168.1 with 3.Z bytes of data：Request timed out.Reply fran 13Z.16B.2.1J: byt&S*3Z tine1Z5ns TTL*1Z7W17 fron 甬21日用 1: byttfs=32 tiua=XL0D TTL=L：27fieply troa 152. If

3、iS. 2. li bytes=32 tlae=l5niS TTL=127Ping ft-atiftics for 192.1B .2. IzPacket-s: Sene 二 4, deceived = 3r Lost = 1loss),Apptoxxniat:* round, trip tim.es in. mil 1 isecozid.s zHini&uu = llOasr Haxiuuu = 125us kverag1 = 12 QusPCping 19Z1百0Pinging - 54 with 32 bytes at datra:ReplyR&pLy B*plyReplyfrouiJT

4、OIkfrou1S；b1bZ.254z：.Z54：192.1e.2.2S4:bytes = 32 Cime=62jas TTL=2S5 bytes=32 euheSZus TTL-Z55 hytB32 tims4Smjs TTLZSS bytes = 3Z tme=47iis TTL=25SPing rt&tirticr qf 1S2 1Br,2S-i：Packet;?: Sene = 4 deceived = 4, Lost = C (0 loss) r步骤3.配置服务器信息精品文档 步骤4.由PC3向服务器发送请求。rd-ini Physical | Cnnfig Dasktap |步骤5

5、捕捉TCP数据包，过程如下. Rfv.mPRh |K0f:hni.：.i： :甫。CK* fft. *i*.rs.-KCfi tM* SM*. L+h Pi.HMI.T. tk.-JC*.过程1Y-J炼im.lirmn rBSJ Kt*1Cl0 HiiiwriiRM2 MMMK*kU心E KHKi.ItrI KHWK-MrrwC-ra1测WH中| BHCVIHri-mA-KIi Mi1心 DIMIHOTTEF1usiVCfppi1JFMSB:K3mr1晒| U Mrf* LW-Ssww I w过程2过程3实验结果记录1. TCP协议报文。2.由服务器向PC3的TCP协议报文精品文档结果分析对T

6、CP协议报文的格式分析可知，TCP协议报文由TCP首部和数据部分组 成。并且TCP首部报文的前二十字节是固定的，如图 4所示。TCP01631 Bits来源端口 ； 80目的端口： 1025SEQUENCE NUM: 0ACK NUM: 1OFF. RES,SYIM +ACKWINDOW校瞌和：oxoURGENT POINTER1.分析上图的TCP协议的报文得到如下结论：源端口号（16位）：它（连同源主机IP地址）标识源主机的一个应用进 程。图片中的来源端口地址为 80。目的端口号（16位）：它（连同目的主机IP地址）标识目的主机的一个 应用进程。这两个值加上IP报头中的源主机IP地址和目的主

7、机IP地址唯一 确定一个TCP连接。图片中的目的端口为1025。顺序号（32 位）:用来标识从TCP源端向TCP目的端发送的数据字节流， 它表示在这个报文段中的第一个数据字节的顺序号。如果将字节流看作在两 个应用程序间的单向流动，则TCP用顺序号对每个字节进行计数。序号是32bit的无符号数，序号到达2 32- 1后又从0开始。当建立一个新的连接 时，SYN标志变1,顺序号字段包含由这个主机选择的该连接的初始顺序 号 ISN （ Initial Sequenee Numbe）。图片中的序号为 0。确认号（32位）：包含发送确认的一端所期望收到的下一个顺序号。因 此，确认序号应当是上次已成功收到

8、数据字节顺序号加1。只有ACK标志为1时确认序号字段才有效。TCP为应用层提供全双工服务，这意味数据能在两 个方向上独立地进行传输。因此，连接的每一端必须保持每个方向上的传输 数据顺序号。上图的确认号为1。TCP报头长度（4位）：给出报头中32bit字的数目，它实际上指明数据 从哪里开始。需要这个值是因为任选字段的长度是可变的。这个字段占4bit，因此TCP最多有60字节的首部。然而，没有任选字段，正常的长度是20字节。保留位（6位）：保留给将来使用，目前必须置为 0。控制位（control flags 6位）：在TCP报头中有6个标志比特，它们中 的多个可同时被设置为1。依次为：URG :为

9、1表示紧急指针有效，为0则忽略紧急指针值。ACK :为1表示确认号有效，为0表示报文中不包含确认信息，忽略确 认号字段。PSH:为1表示是带有PUSH标志的数据，指示接收方应该尽快将这个 报文段交给应用层而不用等待缓冲区装满。其中的IP协议就是与1中的IP协议是一样的。故在此省略对 TCP/IP中 的IP协议的分析。窗口：占2个字节，用来控制对方发送的数据量，单位是字节，指明对 方发送窗口的上限。校验和：占2个字节，校验的范围包括首部和数据两个部分，计算校验和时需要在报文段前加上 12字节的伪首部。检验和：占2字节。检验和字段检验的范围包括首部和数据这两部分和 UDP用户数据报一样，在计算机检验和时，要在 TCP报文段的前面加上12 字节的伪首部。伪首部的格式和 UDP的用户数据报的伪首部一样。但应把伪 首部的第四个字段中的17改为6,把第五个字段的UDP的长度改为TCP的 长度。接收方收到此报文后，仍要加上这个伪首部来计算检验和。紧急指针：站2字节。紧急指针只在URG=1时才有意义，它指出本报文 段紧急数据的字节数。因此，紧急指针指出了紧急数据的末尾在数据报文段 中的位置。当所有紧急数据都处理完时，TCP就告诉应用程序回复到正常操作。值得注意的是，即使窗口为零时也可以发送紧急数据。2.上面分析的是TCP协议数据报的首部固定的20字节，现在分析下图的报文， 包括首部剩下的部分