实验二网络协议分析

1、开机后进入windows XP系统指导老师：曹浪财助教：徐朝庆 邱熠龙邮箱：975230721& 实验结束后，请班级学习委员及时将实验结束后，请班级学习委员及时将电子版电子版的实的实验报告收齐，然后打包成验报告收齐，然后打包成zipzip格式一起提交到邮箱，格式一起提交到邮箱，并注明未提交的同学名单。并注明未提交的同学名单。实验环境windows XP 系统联网计算机网络监听软件Sniffer 实验目的和要求熟悉网络监听软件熟悉网络监听软件Sniffer,Sniffer,对截获的数据帧进行分对截获的数据帧进行分析，验证析，验证EthernetV2EthernetV2标准的标准的MACM

2、AC层的帧结构层的帧结构分析分析ARPARP协议报文首部格式，分析在同一网段和不同协议报文首部格式，分析在同一网段和不同网段间的解析过程网段间的解析过程分析分析IPv4IPv4的报文结构，给出每一个字段的值的报文结构，给出每一个字段的值掌握常用掌握常用ICMPICMP报文格式及相应方式和作用报文格式及相应方式和作用掌握掌握TracertTracert命令跟踪路由技术命令跟踪路由技术掌握掌握TCPTCP连接的建立和释放过程连接的建立和释放过程实验原理 数据数据在网络上是以很小的称为帧（在网络上是以很小的称为帧（FrameFrame）的单）的单位传输的，帧由几部分组成，不同的部分执行不同的位传输的

3、，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。收的过程中，嗅探器会带来安全方面的问题。数据包“包”(Pack

4、et)是TCP/IP协议通信传输中的数据单位，一般也称“数据包”。有人说，局域网中传输的不是“帧”(Frame)吗？没错，但是TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上的，而帧是工作在第二层(数据链路层)。上一层的内容由下一层的内容来传输，所以在局域网中，“包”是包含在“帧”里的。 以太网和IEEE 802封装以太网是指数字设备公司（以太网是指数字设备公司（Digital Equipment Corp.Digital Equipment Corp.）、）、英特尔公司和英特尔公司和XeroxXerox公司在公司在19821982年联合公布的一个标准。年联合公布的一个标

5、准。它是当今它是当今TCP/IPTCP/IP采用的主要局域网技术。它采用采用的主要局域网技术。它采用CSMA/CDCSMA/CD（带冲突检测的载波侦听多路接入）的媒体介入方法。它（带冲突检测的载波侦听多路接入）的媒体介入方法。它的速度是的速度是10Mb/s10Mb/s，地址是，地址是48bit48bit。IEEEIEEE（电子电气工程师协会）（电子电气工程师协会）802802委员会公布了一个稍有委员会公布了一个稍有不同的标准集，其中不同的标准集，其中802.3802.3针对整个针对整个CSMA/CDCSMA/CD网络，网络，802.4802.4针对令牌总线网络，针对令牌总线网络，802.580

6、2.5针对令牌环网络。这三者的共针对令牌环网络。这三者的共同特性由同特性由802.2802.2标准来定义，那就是标准来定义，那就是802802网络共有的逻辑链网络共有的逻辑链路控制（路控制（LLCLLC）。不幸的是，）。不幸的是，802.2802.2和和802.3802.3定义了一个与定义了一个与以太网不同的帧格式。以太网不同的帧格式。 常用的以太网常用的以太网MACMAC帧格式有两种标准，一种是帧格式有两种标准，一种是Ethernet V2Ethernet V2标准，另一种是标准，另一种是802.3802.3标准。这里只介标准。这里只介绍常用的以太网绍常用的以太网V2V2的的MACMAC帧格

7、式。帧格式。 以太网的以太网的MACMAC帧比较简单，有五个字段组成。前帧比较简单，有五个字段组成。前两个字段分别为两个字段分别为6 6字节长的目的地址和源地址字段。字节长的目的地址和源地址字段。第三个字段是第三个字段是2 2字节的类型字段，用来标志上一层使字节的类型字段，用来标志上一层使用的是什么协议，以便把收到的用的是什么协议，以便把收到的MACMAC帧数据上交给上帧数据上交给上一层的协议。例如，当类型字段的值是一层的协议。例如，当类型字段的值是0X08000X0800时，就时，就表示上层使用的是表示上层使用的是IPIP数据报。第四个字段是数据字段，数据报。第四个字段是数据字段，其长度在其

8、长度在46-150046-1500字节之间。最后一个字段是字节之间。最后一个字段是4 4字节的字节的帧检验序列帧检验序列FCSFCS（使用（使用CRCCRC检验）。检验）。8.2 链路层数据帧分析实验步骤：实验步骤：1 1、【开始开始】 【SnifferSniffer软件软件】 打开打开“当前设置窗口当前设置窗口” 选选定网络适配器定网络适配器 进入主界面进入主界面2.2.选取选取CaptureStartCaptureStart菜单项，开始截取报文菜单项，开始截取报文3.3.【开始开始】 “cmdcmd” 弹出弹出“命令提示符命令提示符”窗口窗口 键入键入“ping ping XXX.XXX.

9、XXX.XXXXXX.XXX.XXX.XXX” 选择选择SnifferSniffer的的“capture capture ”stop and displaystop and display显示截获的数据报文结果显示截获的数据报文结果 选择选择“DecodeDecode”选项卡查看报文解码选项卡查看报文解码其中其中XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX表示同网段的计算机表示同网段的计算机IPIP地址地址4、下图是下图是SnifferSniffer捕获的报文解码，在数据链路层捕获的报文解码，在数据链路层（DLCDLC）和源）和源MACMAC地址后紧跟着地址后紧跟着0800,0

10、800,代表该帧数据部代表该帧数据部分封装的是分封装的是IPIP报文，由于报文，由于08000800大于大于05FF05FF，所以它是，所以它是EthernetV2EthernetV2帧。提示：选中摘要（帧。提示：选中摘要（summarysummary）框的）框的“ICMP EchoICMP Echo”报文项查看。报文项查看。8.3 ARP地址解析协议 ARP ARP协议是协议是“Address Resolution Protocol”Address Resolution Protocol”（地（地址解析协议）的缩写。在局域网中，网络中实际传输的是址解析协议）的缩写。在局域网中，网络中实际传输

11、的是“帧帧”，帧里面是有目标主机的，帧里面是有目标主机的MACMAC地址的。在以太网中，地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标一个主机要和另一个主机进行直接通信，必须要知道目标主机的主机的MACMAC地址。但这个目标地址。但这个目标MACMAC地址是如何获得的呢？它地址是如何获得的呢？它就是通过地址解析协议获得的。所谓就是通过地址解析协议获得的。所谓“地址解析地址解析”就是主就是主机在发送帧前将目标机在发送帧前将目标IPIP地址转换成目标地址转换成目标MACMAC地址的过程。地址的过程。ARPARP协议的基本功能就是通过目标设备的协议的基本功能就是通过目标设备的

12、IPIP地址，查询目地址，查询目标设备的标设备的MACMAC地址，以保证通信的顺利进行。地址，以保证通信的顺利进行。 用于以太网的ARP请求或者应答分组格式ARPARP报文的格式：报文的格式：硬件类型：指明硬件的类型，以太网是硬件类型：指明硬件的类型，以太网是1 1。协议类型：指明发送者映射到数据链路标识的网络层协协议类型：指明发送者映射到数据链路标识的网络层协议的类型；议的类型；IPIP对应对应0 x08000 x0800，ARPARP对应的是对应的是0 x08060 x0806。硬件地址长度：也就是硬件地址长度：也就是MACMAC地址的长度，单位是字节，地址的长度，单位是字节，这里是这里是

13、6 6。协议地址长度：网络层地址的长度，即协议地址长度：网络层地址的长度，即IPIP地址长度，单地址长度，单位是字节，这里为位是字节，这里为4 4。操作：指明是操作：指明是ARPARP请求还是请求还是ARPARP应答。应答。实验原理：使用网络的应用程序是采用逻辑地址（如实验原理：使用网络的应用程序是采用逻辑地址（如IP地址）进行通讯的，而实际的物理网络必须使用物理地址）进行通讯的，而实际的物理网络必须使用物理地址（如地址（如MAC地址）进行数据传输。所以需要建立逻地址）进行数据传输。所以需要建立逻辑地址与物理地址的映射关系（地址解析），高层应辑地址与物理地址的映射关系（地址解析），高层应用的报

14、文才可以用底层物理网络传输出去。用的报文才可以用底层物理网络传输出去。ARP协议协议就是将就是将IP地址解析成物理地址的地址解析协议。地址解析成物理地址的地址解析协议。1、同网段的、同网段的ARP解析过程解析过程 主机与处在同一网段的另一主机进行通信时，首先主机与处在同一网段的另一主机进行通信时，首先去缓存中查找目的主机的去缓存中查找目的主机的IP-MAC对应项；如果找到，对应项；如果找到，就将报文用找到的物理地址直接发送出去；如果找不就将报文用找到的物理地址直接发送出去；如果找不到，源主机就直接向网络发送到，源主机就直接向网络发送ARP请求报文，在同一请求报文，在同一网段的目的主机会对此请求

15、报文做出应答。网段的目的主机会对此请求报文做出应答。2、不同网段的、不同网段的ARP解析过程解析过程 主机与处在不同网段的主机进行通信时，数据要想发主机与处在不同网段的主机进行通信时，数据要想发送给默认网关，然后由它转发出去。源主机首先去缓存中送给默认网关，然后由它转发出去。源主机首先去缓存中查找默认网关的查找默认网关的IP-MAC对应项；如果找到，源对应项；如果找到，源主机就把主机就把报文发送给它的默认网关；如果找不到，源主机就会发送报文发送给它的默认网关；如果找不到，源主机就会发送ARPARP请求报文，从默认网关的请求报文，从默认网关的ARPARP应答报文中获得默认网关应答报文中获得默认网

16、关的的IP-MACIP-MAC对应项。对应项。实验步骤：实验步骤：1 1、运行、运行SnifferSniffer软件软件2 2、选取、选取“MonitorMonitor”Define Filter Define Filter 弹出对话框弹出对话框 在在“AddressAddress”中选择中选择“HardwareHardware” 在在“Station1Station1”处键入处键入本机的本机的MACMAC地址地址 “Station2Station2”处填入处填入“AnyAny”3 3、同网段、同网段ARPARP的解析：的解析：“CaptureCapture”Start”Start”在在“DO

17、SDOS”窗口键入窗口键入arparp d darparp aping XXX.XXX.XXX.XXX aping XXX.XXX.XXX.XXX”Capture”Capture”“Stop and DisplayStop and Display” 分析报文分析报文提示：在提示：在“summarysummary”栏选中栏选中“ARPARP”报文报文2 2、不同网段的解析：前面步骤同、不同网段的解析：前面步骤同1 1，在，在DOSDOS窗口输入：窗口输入：ping 3stop and displayping 3stop and display截获报文并显示

18、。截获报文并显示。同网段的请求和应答报文如下截图：同网段的请求和应答报文如下截图：不同网段的不同网段的ARPARP请求和应答报文请求和应答报文分析不同网段的报文填入下表字段项字段项ARP请求报文请求报文ARP应答报文应答报文DestinationSourceSender MAC AddressSender IP Address Target MAC AddressTarget IP Address8.4 IPv4协议分析IP数据报首部的固定部分中的各字段数据报首部的固定部分中的各字段分析分析IPv4IPv4的报头结构，给出每个字段的值；的报头结构，给出每个字段的值；实验步骤：运行实验步骤：运行

19、SniffercapturestartSniffercapturestart在在DOSDOS窗口窗口中输入中输入ping 3stop and displayping 3stop and display选择选择DecodeDecode选项选项分析截获的报文填入表格分析截获的报文填入表格字段字段报文信息报文信息字段字段报文信息报文信息版本片偏移首部长度生存周期服务类型协议总长度校验和标识源地址标志目的地址8.5 ICMP协议分析和路由跟踪实验要求：实验要求：1 1、理解、理解ICMPICMP协议与协议与IPIP协议的封装关系协议的封装关系2 2、掌握常用的、

20、掌握常用的ICMPICMP报文格式及响应方式和作用报文格式及响应方式和作用3 3、理解路由跟踪过程、理解路由跟踪过程4 4、掌握、掌握TracertTracert命令跟踪路由技术命令跟踪路由技术 ICMP ICMP协议：为了处理当数据包经过多个网络传输后可协议：为了处理当数据包经过多个网络传输后可能出现的故障，在能出现的故障，在IPIP层引入子协议层引入子协议ICMPICMP。当遇到。当遇到IPIP数数据包无法访问目标等情况时，路由器自动发送据包无法访问目标等情况时，路由器自动发送ICMPICMP报报文，向源主机报错。文，向源主机报错。nICMPICMP报文的封装报文的封装 ICMP ICMP

21、有两种报文：差错报文和查询报文。差错报文用有两种报文：差错报文和查询报文。差错报文用于当路由器或主机在处理数据过程出现问题时，向源于当路由器或主机在处理数据过程出现问题时，向源主机进行报告；查询报文用于帮助网络管理员从一个主机进行报告；查询报文用于帮助网络管理员从一个网络设备上得到特定的信息，例如某个主机是否可达，网络设备上得到特定的信息，例如某个主机是否可达，中间经过哪些路由器等。中间经过哪些路由器等。ICMPICMP报文都是封装在报文都是封装在IPIP报文报文中传输的。中传输的。ICMPICMP报文还分为很多类，简明的报文类型报文还分为很多类，简明的报文类型如下表所示。如下表所示。种类种类

22、类型类型报文报文差错报告报文差错报告报文3 3目的端不可达目的端不可达4 4源端抑制源端抑制1111超时超时1212参数问题参数问题5 5改变路由改变路由查询报文查询报文8 8或或0 0回送请求或应答回送请求或应答1313或或1414时间戮请求或应答时间戮请求或应答1717或或1818地址掩码请求或回答地址掩码请求或回答1010或或1919路由器查询和通告路由器查询和通告nTracertTracert 工作原理工作原理 TracertTracert( (跟踪路由跟踪路由) )是路由跟踪实用程序，用于确定是路由跟踪实用程序，用于确定IPIP数据报文访问目标所采取的路径。数据报文访问目标所采取的路

23、径。TracertTracert命令用命令用IPIP数据数据报文中的生存时间报文中的生存时间(TTL)(TTL)字段和字段和ICMPICMP报告的错误消息来确报告的错误消息来确定从源主机到网络其他主机的路由定从源主机到网络其他主机的路由。 源主机的源主机的TracertTracert程序向目标端发送程序向目标端发送ICMPICMP请求，并将封请求，并将封装装ICMPICMP请求数据包的请求数据包的IPIP分组报头中的分组报头中的TTLTTL值置值置1,1,。此。此ICMPICMP数据包在到达第一个路由器时，数据包在到达第一个路由器时，IPIP报头中的报头中的TTLTTL减减1 1变为变为0 0

24、，根据规定路由器会丢弃根据规定路由器会丢弃TTLTTL为为0 0的的IPIP分组，并同时向发送端分组，并同时向发送端发送发送ICMPICMP超时消息。源主机从收到的超时消息中，记录并超时消息。源主机从收到的超时消息中，记录并显示发回超时信息的路由器的显示发回超时信息的路由器的IPIP地址，以及地址，以及IPIP分组从源主分组从源主机的第一个路由器之间的往返时间；然后机的第一个路由器之间的往返时间；然后TracertTracert程序继程序继续向目标端发送续向目标端发送ICMPICMP请求数据包，但请求数据包，但IPIP分组报头的分组报头的TTLTTL加加1 1置为置为2,2,。这个。这个ICM

25、PICMP请求数据包在向目标端前进的路途上到请求数据包在向目标端前进的路途上到达第二个路由器后，达第二个路由器后，TTLTTL的值减为的值减为0 0；第二个路由器同样的；第二个路由器同样的向发送端发送向发送端发送ICMPICMP超时报文。源主机就获得了路途上第二超时报文。源主机就获得了路途上第二 路由器的路由器的IPIP地址以及往返时间。以此类推，直到有一地址以及往返时间。以此类推，直到有一个个ICMPICMP请求数据包到达目的端。这样源主机就可以根请求数据包到达目的端。这样源主机就可以根据各路由器回复的据各路由器回复的ICMPICMP超时报文来确定达到目的端的超时报文来确定达到目的端的路径上

26、所有的路由器路径上所有的路由器IPIP地址与通讯往返时间。地址与通讯往返时间。n利用利用TracertTracert可以测试从源端到目的端的路径需要通可以测试从源端到目的端的路径需要通过哪些节点，同时了解通讯路径中哪个节点存在故障。过哪些节点，同时了解通讯路径中哪个节点存在故障。实验步骤：实验步骤：1 1、捕获并分析、捕获并分析ICMPICMP超时报文超时报文运行运行SnifferCapturestartSnifferCapturestart在在DOSDOS窗口窗口键入键入33stop and display stop and display 截获并显示

27、报文截获并显示报文在报文显示列表找到超时报文在报文显示列表找到超时报文(Time exceeded(Time exceeded，ICMPICMP报文中报文中Type=11)Type=11)报文信息填入表格报文信息填入表格类型类型代码代码校验和校验和数据数据2 2、捕获分析回送请求和应答、捕获分析回送请求和应答ICMPICMP报文报文使用刚刚截获的报文，在报文显示列表找到使用刚刚截获的报文，在报文显示列表找到ICMP EchoICMP Echo和和ICMP Echo replyICMP Echo reply报文，并将相应的信息填入表格报文，并将相应的信息填入表格类型类型代码代码校验和校验和标示符

28、标示符序列号序列号Echo request Echo reply3 3、用、用TracertTracert 跟踪路由跟踪路由运行运行SniffercapturestartSniffercapturestart在在DOSDOS窗口输入窗口输入TracertTracert d 4stop and display d 4stop and display截获截获并显示报文并显示报文分析分析TracertTracert命令的工作过程命令的工作过程下图报文是本地主机发往远端主机的下图报文是本地主机发往远端主机的ICMPICMP报文。其中报文。其中IPIP报头的报头的

29、TTLTTL值为值为1 1，即，即TracertTracert发送的第一个发送的第一个ICMPICMP报文，报文，ICMPICMP代码为代码为8 8（ICMPICMP请求报文）。请求报文）。下图报文是从源主机发往远端主机的分组经过第一个路下图报文是从源主机发往远端主机的分组经过第一个路由器，由于由器，由于TTLTTL从从1 1减为减为0 0，路由器发送超时报文给源，路由器发送超时报文给源主机，主机，ICMPICMP超时报文的类型为超时报文的类型为1111。大家可以在列表中找到有源主机发出的大家可以在列表中找到有源主机发出的TTLTTL为为2 2、3 3、4 4等等的的ICMPICMP请求报文，

30、同样可以找到途中各路由器发回给请求报文，同样可以找到途中各路由器发回给源主机的超时报文，最后源主机的超时报文，最后IPIP分组的分组的TTLTTL递增到足够大递增到足够大时，源主机的时，源主机的TracertTracert程序发送的程序发送的ICMPICMP请求报文终于请求报文终于到达目的主机。此时目的主机向源主机发送到达目的主机。此时目的主机向源主机发送ICMPICMP应答应答报文，而不是超时报文，路由跟踪过程到此结束。报文，而不是超时报文，路由跟踪过程到此结束。回答问题：回答问题：1 1、TracertTracert程序每次回发送几个程序每次回发送几个TTLTTL相同的相同的ICMPICM

31、P请求报请求报文？文？2 2、路由跟踪过程中，中间节点、路由跟踪过程中，中间节点( (路由器路由器) )返回的返回的ICMPICMP报报文和目的端返回的文和目的端返回的ICMPICMP报文有什么区别？报文有什么区别？8.6 TCP传输控制协议分析实验要求：实验要求：掌握掌握TCPTCP协议的形式；协议的形式；掌握掌握TCPTCP连接的简历和释放过程；连接的简历和释放过程；掌握掌握TCPTCP数据传输编号与确认的过程；数据传输编号与确认的过程；实验原理：实验原理：TCPTCP是一种面向连接的、可靠的、基于字是一种面向连接的、可靠的、基于字节流的通信协议。节流的通信协议。实验条件：实验条件：XPX

32、P或或win7win7联网计算机，联网计算机，SnifferSniffer软件，软件，FTPFTP服务器服务器TCP：传输控制协议TCP是一种可靠的、面向连接的字节流服务。源主机在传送数据前需要先和目标主机建立连接。然后，在此连接上，被编号的数据段按序收发。同时，要求对每个数据段进行确认，保证了可靠性。如果在指定的时间内没有收到目标主机对所发数据段的确认，源主机将再次发送该数据段。 TCP包首部源、目标端口号字段：占16比特。TCP协议通过使用端口来标识源端和目标端的应用进程。端口号可以使用0到65535之间的任何数字。在收到服务请求时，操作系统动态地为客户端的应用程序分配端口号。在服务器端，

33、每种服务在众所周知的端口（Well-Know Port）为用户提供服务。顺序号字段：占32比特。用来标识从TCP源端向TCP目标端发送的数据字节流，它表示在这个报文段中的第一个数据字节。确认号字段：占32比特。只有ACK标志为1时，确认号字段才有效。它包含目标端所期望收到源端的下一个数据字节。头部长度字段：占4比特。给出头部占32比特的数目。没有任何选项字段的TCP头部长度为20字节；最多可以有60字节的TCP头部。标志位字段（U、A、P、R、S、F）：占6比特。各比特的含义如下：URG：紧急指针（urgent pointer）有效。ACK：确认序号有效。PSH：接收方应该尽快将这个报文段交给

34、应用层。RST：重建连接。SYN：发起一个连接。FIN：释放一个连接。窗口大小字段：占16比特。此字段用来进行流量控制。单位为字节数，这个值是本机期望一次接收的字节数。TCP校验和字段：占16比特。对整个TCP报文段，即TCP头部和TCP数据进行校验和计算，并由目标端进行验证。紧急指针字段：占16比特。它是一个偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。选项字段：占32比特。可能包括窗口扩大因子、时间戳等选项。 ( (1)TCP1)TCP协议的报文分析协议的报文分析 FTP FTP是常用的应用层协议，其使用是常用的应用层协议，其使用TCPTCP的控制和数据连接。的控制和数据连接

35、。在在FTPFTP客户端，使用客户端，使用SnifferSniffer捕获由捕获由FTPFTP命令产生的命令产生的TCPTCP数据包。数据包。为了产生数据源，本实验在为了产生数据源，本实验在DOSDOS命令行中输入命令行中输入ftpftp登陆命令登陆命令( (本例本例为为55),),而后进入而后进入FTPFTP的某一目录下载一个文本的某一目录下载一个文本文件，最后退出服务器。文件，最后退出服务器。 实验步骤：实验步骤： 运行运行SnifferSnifferMonitorDefine MonitorDefine FliterFliter

36、选选取取AddressAddress选选项卡项卡在在AddressAddress下拉列表选择下拉列表选择IPIP在在Station1Station1和和Station2Station2下面下面分别填入本机分别填入本机IPIP和和FTPFTP服务器服务器IPIP地址地址Capture Capture startstart在在DOSDOS窗口输入窗口输入ftp 5ftp 5输入用户名和密码，都为输入用户名和密码，都为116116get get text.txt text.txt quitSnifferquitSniffer软件软件Capture Stop C

37、apture Stop and Display and Display 截获并显示报文截获并显示报文 提示：输入密码后是默认不显示的，直接按回车提示：输入密码后是默认不显示的，直接按回车(2)TCP(2)TCP连接建立过程连接建立过程 根据根据FTPFTP和和TCPTCP协议，抓取到前面的三个报文，是协议，抓取到前面的三个报文，是TCPTCP连接的三次握手过程。下图是连接的三次握手过程。下图是FTPFTP客户端客户端( (本机本机) )向向FTPFTP服服务器发送第一次握手信号；控制位的同步务器发送第一次握手信号；控制位的同步SYN=1SYN=1，表示，表示发出连接请求。发出连接请求。 下图表

38、示下图表示FTPFTP服务器向服务器向FTPFTP客户端发送第二次握手信号，客户端发送第二次握手信号，控制位里面有确认位和同部位控制位里面有确认位和同部位(SYN=1,ACK=1)(SYN=1,ACK=1)。 下图为下图为FTPFTP客户端向客户端向FTPFTP服务器发送第三次握手信号；服务器发送第三次握手信号； 控制位里面只有确认位控制位里面只有确认位ACK=1ACK=1。 经过三次握手后，经过三次握手后，FTPFTP客户端与客户端与FTPFTP服务器建立起连接，服务器建立起连接，就可以下载文件了。就可以下载文件了。 根据根据TCPTCP协议建立过程的三个报文，填写下表。协议建立过程的三个报文，填写下表。字段名称字段名称第一条报文第一条报文第二条报文第二条报文第三条报文第三条报文序号Sequence NumberAcknowledgment NumberACKSYNTCP连接终止建立连接需要三次握手，而终止一个连接要经过4次握手TCPTCP连接释放过程连接释放过程 TCP TCP连接释放使用了四次握手，通讯双方都可以启连接释放使用了四次握手，通讯双方都可以启动终止程序，一个典型的释放过程需要每个终端都提动终止程序，一个典型的释放过程需要每个终端都提供一对供一对FINF