实验七 传输控制协议TCP.doc

实验七 传输控制协议TCP实验目的1掌握使用WIRESHARK工具对TCP协议进行抓包分析的方法。 2通过实验，进一步了解TCP协议。实验环境1安装Windows2000/2003Server/XP操作系统的PC计算机一台。2每台PC具有一块以太网卡，通过双绞线与局域网相连。3每台PC运行网络协议分析软件WIRESHARK。实验原理因特网在传输层有两种主要的协议：一种是面向连接的协议(TCP)，另一种是无连接的协议(UDP)。传输控制协议(Transmission Control Protocol，TCP)是一种可靠的面向连接的传送协议。它在传送数据时是分段进行的，主机之间交换数据必须建立一个会话。它用比特流通信，即数据被作为无结构的字节流。通过每个TCP传输的字段指定顺序号，以获得可靠性。它是在OSI参考模型的第4层，TCP是使用IP的网际间互联功能而提供可靠的数据传输，IP不停地把报文放到网络上，而TCP负责确信报文到达。在协同IP的操作中TCP负责握手过程、报文管理、流量控制、错误检测和处理(控制)，并根据一定的编号顺序对非正常顺序的报文给予重新排列顺序。TCP是面向连接的协议。在面向连接的环境中，开始传输数据之前，在两个终端之间必须先建立一个连接。对于一个要建立的连接，通信双方必须用彼此的初始化序列号seq和来自对方成功传输确认的应答号ack(指明希望收到的下一个八位组的编号)来同步，习惯上将同步信号写为SYN，应答信号写为ACK。 整个同步的过程称为三次握手，如图6-1所示。图6-1 TCP连接的建立对于一个已经建立的连接，TCP使用四次握手来结束通话（使用一个带有FIN附加标记的报文段）。 如图图6-2 TCP连接的释放 TCP每发送一个报文段，就对这个报文段设置一次计时器。只要计时器设置的重传时间到期，但还没有收到确认，就要重传这一报文段。图6-3 TCP报文格式TCP首部各字段分析TCP的头信息是：04 28 00 15 3A DF 05 53 00 00 00 00 70 02 40 00 9A 8D 00 00 02 04 05 B4 01 01 04 02端口号：常说FTP占21端口、HTTP占80端口、TELNET占23端口等，这里指的端口就是TCP或UDP的端口，端口就像通道两端的门一样，当两机进行通讯时门必须是打开的。源端口和目的端口各占16位，2的16次方等于65536，这就是每台电脑与其它电脑联系所能开的“门”。一般作为服务一方每项服务的端口号是固定的。本例目的端口号为00 15，换算成十进制为21，这正是FTP的默认端口，需要指出的是这是FTP的控制端口，数据传送时用另一端口，第三组的分析能看到这一点。客户端与服务器联系时随机开一个大于1024的端口，本例为04 28，换算成十进制为1064。你的电脑中了木马也会开一个服务端口。观察端口非常重要，不但能看出本机提供的正常服务，还能看出不正常的连接。Windows察看端口的命令时netstat。 32位序号：也称为顺序号（Sequence Number），简写为SEQ，从上面三次握手的分析可以看出，当一方要与另一方联系时就发送一个初始序号给对方，意思是：“让我们建立联系吧？”，服务方收到后要发个独立的序号给发送方，意思是“消息收到，数据流将以这个数开始。”由此可看出，TCP连接完全是双向的，即双方的数据流可同时传输。在传输过程中双方数据是独立的，因此每个TCP连接必须有两个顺序号分别对应不同方向的数据流。 32位确认序号：也称为应答号（Acknowledgment Number），简写为ACK。在握手阶段，确认序号将发送方的序号加1作为回答，在数据传输阶段，确认序号将发送方的序号加发送的数据大小作为回答，表示确实收到这些数据。4位首部长度。这个字段占4位，它的单位时32位（4个字节）。本例值为7，TCP的头长度为28字节，等于正常的长度20字节加上可选项8个字节。，TCP的头长度最长可为60字节（二进制1111换算为十进制为15，15*4字节=60字节）。 6个标志位。 URG 紧急指针，告诉接收TCP模块紧要指针域指着紧要数据 ACK 置1时表示确认号（为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。 PSH 置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。 RST 置1时重建连接。如果接收到RST位时候，通常发生了某些错误。 SYN 置1时用来发起一个连接。 FIN 置1时表示发端完成发送任务。用来释放连接，表明发送方已经没有数据发送了。 16位窗口大小：TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数，起始于确认序号字段指明的值，这个值是接收端正期望接收的字节。窗口大小是一个16字节字段，因而窗口大小最大为65535字节。 16位检验和：检验和覆盖了整个的TCP报文段： TCP首部和TCP数据。这是一个强制性的字段，一定是由发端计算和存储，并由收端进行验证。 16位紧急指针：只有当U R G标志置1时紧急指针才有效。紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。 选项。最常见的可选字段是最长报文大小，又称为MSS (Maximum Segment Size)。每个连接方通常都在握手的第一步中指明这个选项。它指明本端所能接收的最大长度的报文段。实验步骤1、抓取本机和远程计算机进行文件传输时TCP数据包在分析TCP之前，先通过HTTP POST的方式(通过HTTP方式传输数据有POST和GET两种方式，前者相对后者而言，更适合用于传输具有大量数据的文件)，将本地的一个文件上传到一个远程的Web服务器上，然后使用WIRESHARK去捕获该文件传输过程中的TCP数据包。(1)打开IE浏览器，在地址栏内输入“”，输入你的用户名和密码，登录。 图6-4 浏览器界面 (2)启动WIRESHARK协议分析工具，并点击程序上方“Capture”菜单下的“Start”开始数据包的抓取。 (3)登录完成以后，停止WIRESHARK的抓包工作，会看到如图6-5所示的WIRESHARK窗口。找出你的用户名和密码。图6-5 WIRESHARK抓取的TCP协议数据包2、过滤无关的其他数据包由于WIRESHARK抓包的时候，将网卡设为监听模式，因此在抓取的数据包中，会将网络上出现的所有数据包都抓下来，其中许多是与该实验无关的数据包，如ARP数据包、交换机的通讯包等，因此需要将这些抓到的无关数据包给过滤掉。过滤的步骤为：首先在WIRESHARK中的“Filter”域中输入关键字“TCP”，然后点击右边的“Apply”按钮，将捕获到的与传输无关的数据包过滤掉，剩下与本实验相关的部分。在过滤后的数据包捕获窗口中，看到的是本机和 u之间的一系列的TCP和HTTP通讯信息，其中有初始化连接的含有“SYN”信息的3次TCP握手，一个HTTP POST信息和一系列的从本机发往 的TCP包和HTTP包。查看捕获的数据包，回答以下问题：(1)本地计算机的IP地址是什么，通讯使用的TCP端口号是多少？(2) 的IP地址是多少，对方使用哪个端口发送和接收TCP数据包？3、TCP协议分析分析查看这些TCP数据包，回答以下问题：(1)用于初始化连接的TCP SYN数据包中的sequence号是多少？在该数据包中哪部分表明了该数据包是否为一个SYN数据包？(2) 回复的SYNACK数据包中的sequence号是多少？数据包中的哪部分表明了该数据包是否为一个SYNACK数据包？(3)包含HTTP POST指令的TCP数据包中的sequence号是多少？4、运行netstat命令(1) 在DOS命令行方式下运行：netstat s 显示每个协议的使用状态，观察TCP协议的使用情况。图6-7 netstat s 命令的结果(2) 在DOS命令行方式下运行：netstat a显示所有主机的端口号，观察与TCP协议相关的内容。图6-8 netstat a 命令的结果思考题1为什么说TCP是面向连接的协议？ TCP 3次握手的工作过程是什么，安全不安全？2TCP数据包中的sequence号有什么作用？3试用具体例子说明为什么在运输连接建立时要使用三次握手。说明如不这样做可能会出现什么情况。 4使用TCP对实时话音数据的传输有没有什么问题？使用UDP在传送数据文件时会有什么问题？ 5TCP在进行流量控制时是以分组的丢失作为产生拥塞的标志。有没有不是因拥塞而引起的分组丢失的情况？如有，请举出三种情况