TCP協議頭最少20個字節,包括以下的區域(由于翻譯不禁相同,文章中給出相應的英文單詞):
TCP源端口( Port):16位的源端口其中包含初始化通信的端口。源端口和源IP地址的作用是標示報問的返回地址。
TCP目的端口( port):16位的目的端口域定義傳輸的目的。這個端口指明報文接收計算機上的應用程序地址接口。
TCP序列號(序列碼,):32位的序列號由接收端計算機使用,重新分段的報文成最初形式。當SYN出現,序列碼實際上是初始序列碼(ISN),而第一個數據字節是ISN+1。這個序列號(序列碼)是可以補償傳輸中的不一致。
TCP應答號( ):32位的序列號由接收端計算機使用,重組分段的報文成最初形式。,如果設置了ACK控制位,這個值表示一個準備接收的包的序列碼。
數據偏移量(HLEN):4位包括TCP頭大小,指示何處數據開始。
保留():6位值域,這些位必須是0。為了將來定義新的用途所保留。
標志(Code Bits):6位標志域。表示為:緊急標志、有意義的應答標志、推、重置連接標志、同步序列號標志、完成發送數據標志。按照順序排列是:URG、ACK、PSH、RST、SYN、FIN。
窗口():16位,用來表示想收到的每個TCP數據段的大小。
校驗位():16位TCP頭。源機器基于數據內容計算一個數值,收信息機要與源機器數值 結果完全一樣,從而證明數據的有效性。
優先指針(緊急,):16位tcp數據包結構,指向后面是優先數據的字節,在URG標志設置了時才有效。如果URG標志沒有被設置,緊急域作為填充。加快處理標示為緊急的數據段。
選項():長度不定,但長度必須以字節。如果 沒有 選項就表示這個一字節的域等于0。
填充:不定長,填充的內容必須為0,它是為了數學目的而存在。目的是確保空間的可預測性。保證包頭的結合和數據的開始處偏移量能夠被32整除,一般額外的零以保證TCP頭是32位的整數倍。
<附圖是用抓的一個包頭結構>
00 50 07 45 9b d6 43 3c 47 fd 37 50 50 18
ff 1f 05 a5 00 00 48 54 54 50 2f 31 2e 31
20 32 30 30 20 4f 4b 0d 0a 53 65 72 76 65
72 3a 20 4d 69 63 72 6f 73 6f 66 74 2d 49
49 53 2f 35 2e 30 0d 0a 44 61 74 65 3a 20
57 65 64 2c 20 31 32 20 4e 6f 76 20 32 30
30 33 20 30 33 3a 33 37 3a 35 35 20 47 4d
54 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a
20 63 6c 6f 73 65 0d 0a 48 54 54 50 2f 31
2e 31 20 32 30 30 20 4f 4b 0d 0a 53 65 72
76 65 72 3a 20 4d 69 63 72 6f 73 6f 66 74
2d 49 49 53 2f 35 2e 30 0d 0a 50 72 61 67
6d 61 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a
43 6f 6e 74 65 6e 74 2d 74 79 70 65 3a 20
74 65 78 74 2f 70 6c 61 69 6e 3b 63 68 61
72 73 65 74 3d 67 62 32 33 31 32 0d 0a 0d
0a
解析:
源端口:0050目的端口:0745序列號:9b d6 433c
應答號:47 fd 37 50數據偏移量:50保留:
標志位:18窗口:ff1f 校驗位:05 a5
優先指針:0000選項:填充:(余下的205字節為TCP數據)
標志控制功能 URG:緊急標志
緊急(The ) 標志有效。緊急標志置位,
ACK:確認標志 確認編號(r)欄有效。大多數情況下該標志位是置位的。TCP報頭內的確認編號欄內包含的確認編號(w+1,:1)為下一個預期的序列編號,同時提示遠端系統已經成功接收所有數據。
PSH:推標志
該標志置位時,接收端不將該數據進行隊列處理,而是盡可能快將數據轉由應用處理。在處理 或 等交互模式的連接時,該標志總是置位的。
RST:復位標志 復位標志有效。用于復位相應的TCP連接。
SYN:同步標志 同步序列編號( )欄有效。該標志僅在三次握手建立TCP連接時有效。它提示TCP連接的服務端檢查序列編號,該序列編號為TCP連接初始端(一般是客戶端)的初始序列編號。在這里,可以把TCP序列編號看作是一個范圍從0到4,294,967,295的32位計數器。通過TCP連接交換的數據中每一個字節都經過序列編號。在TCP報頭中的序列編號欄包括了TCP分段中第一個字節的序列編號。
FIN:結束標志
帶有該標志置位的數據包用來結束一個TCP回話,但對應端口仍處于開放狀態,準備接收后續數據。服務端處于監聽狀態,客戶端用于建立連接請求的數據包(IP )按照TCP/IP協議堆棧組合成為TCP處理的分段()。
分析報頭信息: TCP層接收到相應的TCP和IP報頭,將這些信息存儲到內存中。
檢查TCP校驗和():標準的校驗和位于分段之中(:2)。如果檢驗失敗,不返回確認,該分段丟棄,并等待客戶端進行重傳。
查找協議控制塊(PCB{}):TCP查找與該連接相關聯的協議控制塊。如果沒有找到,TCP將該分段丟棄并返回RST。(這就是TCP處理沒有端口監聽情況下的機制)
如果該協議控制塊存在,但狀態為關閉,服務端不調用()或()。該分段丟棄,但不返回RST。客戶端會嘗試重新建立連接請求。
建立新的:當處于監聽狀態的收到該分段時,會建立一個子,同時還有{},tcpcb{}和pub{}建立。這時如果有錯誤發生,會通過標志位來拆除相應的和釋放內存,TCP連接失敗。如果緩存隊列處于填滿狀態,TCP認為有錯誤發生,所有的后續連接請求會被拒絕。這里可以看出SYN Flood攻擊是如何起作用的。
丟棄:如果該分段中的標志為RST或ACK,或者沒有SYN標志,則該分段丟棄。并釋放相應的內存。
發送序列變量
SND.UNA : 發送未確認
SND.NXT : 發送下一個
SND.WND : 發送窗口
SND.UP : 發送優先指針
SND.WL1 : 用于最后窗口更新的段序列號
SND.WL2 : 用于最后窗口更新的段確認號
ISS : 初始發送序列號
接收序列號
RCV.NXT : 接收下一個
RCV.WND : 接收下一個
RCV.UP : 接收優先指針
IRS : 初始接收序列號
當前段變量
SEG.SEQ : 段序列號
SEG.ACK : 段確認標記
SEG.LEN : 段長
SEG.WND : 段窗口
SEG.UP : 段緊急指針
SEG.PRC : 段優先級
表示沒有連接,各個狀態的意義如下:
: 監聽來自遠方TCP端口的連接請求。
SYN-SENT : 在發送連接請求后等待匹配的連接請求。
SYN- : 在收到和發送一個連接請求后等待對連接請求的確認。
: 代表一個打開的連接,數據可以傳送給用戶。
FIN-WAIT-1 : 等待遠程TCP的連接中斷請求,或先前的連接中斷請求的確認。
FIN-WAIT-2 : 從遠程TCP等待連接中斷請求。
CLOSE-WAIT : 等待從本地用戶發來的連接中斷請求。
: 等待遠程TCP對連接中斷的確認。
LAST-ACK : 等待原來發向遠程TCP的連接中斷請求的確認。
TIME-WAIT : 等待足夠的時間以確保遠程TCP接收到連接中斷請求的確認。
: 沒有任何連接狀態。
TCP連接過程是狀態的轉換,促使發生狀態轉換的是用戶調用:OPEN,SEND,,CLOSE,ABORT和。傳送過來的數據段,特別那些包括以下標記的數據段SYN,ACK,RST和FIN。還有超時tcp數據包結構,上面所說的都會時TCP狀態發生變化。
序列號:請注意,我們在TCP連接中發送的字節都有一個序列號。因為編了號,所以可以確認它們的收到。對序列號的確認是累積性的。TCP必須進行的序列號比較操作種類包括以下幾種:
①決定一些發送了的但未確認的序列號。
②決定所有的序列號都已經收到了。
③決定下一個段中應該包括的序列號。
對于發送的數據TCP要接收確認,確認時必須進行的:
SND.UNA = 最老的確認了的序列號。
SND.NXT = 下一個要發送的序列號。
SEG.ACK = 接收TCP的確認,接收TCP期待的下一個序列號。
SEG.SEQ = 一個數據段的第一個序列號。
SEG.LEN = 數據段中包括的字節數。
SEG.SEQ+SEG.LEN-1 = 數據段的最后一個序列號。
如果一個數據段的序列號小于等于確認號的值,那么整個數據段就被確認了。而在接收數據時下面的比較操作是必須的:
RCV.NXT = 期待的序列號和接收窗口的最低沿。
RCV.NXT+RCV.WND:1 = 最后一個序列號和接收窗口的最高沿。
SEG.SEQ = 接收到的第一個序列號。
SEG.SEQ+SEG.LEN:1 = 接收到的最后一個序列號