协议分析工具学习TCPIP

一、前言

TCP/IP(一)曾在赛迪网发过一篇《用协议分析工具学习TCP/IP〔以下简称“学习“，看到“次供给其它的补充“TCP/TP协议簇是InternetTCP/TP协议的根底上，要学的东西很多，“学习“一文概述了数据的传送过程，讲到了TCP标志位的变化，本文重点阐述TCP的状态变迁的状况，假设对TCP协议还不生疏请参阅“学习“一文，前文讲过的本文不再赘述。二、为什么要学习TCP的状态变迁要说清楚为什么，先说说状态，打个简洁的比方，一般来说一个人“笑“是“快活“的状态，“哭“是“哀痛“的状态，“怒吼“是“发怒“的状态等等，也就是说一个人在做某个动作时就处于肯定的状态，其实，网络中的计算机在相互通讯时，在不同的阶段就处于不同的状态，“学习“一文中讲到的数据的几个传送过程〔建立连接、数据传送、完毕连接，在各个过程中，TCP同的状态，由此可以看出，只有格外生疏TCP的状态，才能知道目前你的计算机在网络中处于受到了攻击？哪些端口处于开放状态？中木马了吗？等等诸如此类的问题都与TCP的状态有TCP状态的缘由。1、要有“动“的概念状态是随着不同的状况而发生变化的，还用上面的比方，一个人“笑“是处于“快活“的状态，他笑着笑着不笑了也就从“快活“的状态变为别的状态了。状态是随着条件的不同而变化的，是动的，从下面的学习可以看出，在不同的阶段，TCP协议的标志位各不一样，反映出来的现象就是状态的变化。2、要分清楚哪些是客户端的状态，哪些是效劳器端的状态何谓客户端和效劳器端，你正在上网时，你的计算机就是客户端，而你访问的网站的效劳器就是效劳器端。假设你在你的机器中供给了一个www效劳，那此时你的机器就是效劳器端，访问你的计算机是客户端。可见一台计算机即可作为客户端也可作为效劳器端。有些状态是客户端独有的，有些是效劳器端独有的，有些是都有的，在下面的学习中肯定要留意区分。3、TCP的状态实际上就是某个端口的状态“学习“TCP协议在通讯时用到源端口和目的端口，源端口是本机翻开的，目的端www效劳默认翻开80E_mail效劳默认翻开25端口，供给FTP效劳默认翻开21端口，效劳端口号一般是固定的，当有其它的计算机访问你的www效劳时，那台计算机要随机开个端口(1024以上)与你的80端口进展通讯，此时你的80端口的TCP状态将会随着不同的阶段而发生变化，而此时21、25等效劳端口在没有被访问的状况下是不会发生变化的。学习时肯定要清楚TCP的状态实际上就是某个端口的状态这句话的含义。四、测试环境测试环境请参见用协议分析工具学习TCP/IP一文。IRIS、Snifferpro协议分析工具有很多，也有免费的，只要能把包抓下来就行了。Windows系统自带的网络监视LinuxTCPDUMP也是不错的工具。TCP状态观看工具TCPview，该软件很小只有93KB，而且是个绿色软件，不用安装。下载地很多down“:///soft/3483.htm“:///soft/3483.htm。图1和图2都是在《TCP/IP祥解》一书中截取的格外经典的TCP的状态变迁图，这两张图格外清楚地显示了TCP状态变迁的具体过程。期望能在看完此文后在懂得TCP状态的根底上将这两张图烧到你的脑子里。1中，虚线是效劳器端的正常状态变化：从CLOSED->LISTIN->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED->LISTIN粗实线是客户端的正常状态变化：从 CLOSED->SEND_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED其中CLOSED状态是个开头状态，在实际观看中是看不到的〔本人观点〕细实线是数据传输过程中可能消灭的一些状况的状态。图2是将客户端和效劳器端分开的状态显示。这两张图在下面的学习中要常常用到。1TCP的状态变迁图图2TCP正常连接建立和终止所对应的状态TCP的状态1、命令方式下面以WindowsXP为例看看安装的系统都开了那些端口，也就是说都预留了那些门，不借助netstat，方法如下：a、在“开头“的“运行“cmd，回车b3dosnetstat-na3显示的就是翻开的效劳端口，其中Proto代表协议，该图中可以看出有TCP和UDP两种协议。LocalAddress代表本机地址，该地址冒号后的数字就是开放的端口号。ForeignAddress代表远程地址，假设和其它机器正在通信，显示的就是对方的地址，State代表状态，显示的LISTENING表示处于侦听状态，就是说该端口是开放的，看看它的意思。TCP:13:0LISTENING这一行的意思是本机的135端口正在等待连接。留意：只有TCP协议的效劳端口才能处于LISTENING状态。其它状态稍后讲。32TCPView工具为了更好的分析端口，最好用TCPView这个软件，它是动态的。图4是TCPView“Options“->“Font“中将字号调大即可。TCPView显示的数据是动态的。图3中LocalAddress显示的就是本机开放的哪个端口〔：号后面的数字TCPView3可以看出4451391025135、5000等端口是开放的，445、139等端口都是system发起的，135等都是SVCHOST发起的。41、抓包抓包过程请参见“学习“一文中的“三、测试过程“，不同的是不用下载文件，在扫瞄器中输入FTP地址后关闭扫瞄器既是一个完整的数据传输过程。另为208号机改为2075中是截取的过程，其中10-28行省略了。52、分析三次握手的状态53-52看其状态变化如下：1〕图5第3行和图6显示，207号机向1号机发出连接恳求,207号机标志位SYN置1，随即产生一个初始序号〔SEQ〕37481682371207SYN_SEND状态。2)〕图546No.4显示，113748168238作为应答信号〔ACK，同时随机产生一个初始序号〔SEQ〕4265983929，此时1号机将标志位SYNACK12071LISTENSYN_RCVD状态。3)〕556No.5显示，2071〔SEQ〕426598392914265983930作为应答信号并且将标志为ACK11号机。这样在完207ESTABLISHED状态。6是三次握手的标志位变化状况。6三次握手的标志位变化数据传输的状态图5中6-30行是数据传送的过程，数据在传送的过程中始终处于ESTABLISHED状态。ESTABLISHEDESTABLISHED状态的连接肯定要格外留意，由于它或许是正常传输数据，或许是木马之类在盗取你的数据。7是数据传输时的标志位变化。7数据传输时的标志位变化终止连接的状态532-352看其状态变化如下：132行数据和图8中No.32显示的是207207号机将FIN置1连同序号(SEQ)37481683371207FIN_WAIT_1状态。338No.331FINCLOSE_WAIT状态，1号机将标志位ACK置1，并将应答信号设置为收到序号加1〔ACK=3748168338〕发回给207号机，这样就终止了这个方向的传输。348No.341FIN1连同序号(SEQ)4265984517207号机1LAST_ACK状态358No.35207FIN关闭恳求后，发回一个确认，并将应答信号设置为收到序号加1〔ACK=4265984518，至此TCP连接彻底关闭。此时207号机处于TIME_WAIT状态。1CLOSED状态，此次连接彻底完毕。7是终止连接的标志位变化。8终止连接的标志位变化4〕TCP状态显示9、10、111号机在不同阶段用TCPview捕获的TCP状态，由于有些状态格外短暂，难以捕获，只要能理解其中的意思即可。在上网是留意用TCPview观看，图3中的状态根本都能看到，TCPview显示的状态既有客户端的也有效劳器端的。图11就是在1号机显示的207号机的状态。91FTPLISTENING状态的状况。102071121ESTABLISHED状态，这里需要留意的是1号机在和207号机建立连接时，还有一个21端口处于LISTENING状态，这是由于它允很多用户访问，就像一个网站，它的80端口可以同时与许很多多的用户建立连接。11TIME_WAIT207号机的状态。91011上篇我们搭建一个最简洁的网络环境《用协议分析工具学习TCP/IP(二)器、建立连接，下面我们来争论数据传输和终止连接。名目显示的是1、2行的数据解释数据包头信息分析显示的是3-5行的数据解释数据包头信息分析以下图显示的是57-60行的数据14解释数据包这四行数据是数据传输过程中一个发送一个接收的过程。前文说过，TCP供给一种面对连接的、牢靠的字节流效劳。当接收端收到来自发送端的信息时，承受端要发送一条应答信息，表示收到此信息。数据传送时被TCP分割成认为最适合发送的数据块。一般以太网在传送时TCP将数据分为1460的发送，承受端收到这些数据后再将它们组合在一起。行显示1号机给208号机发送了大小为1514是层层加协议头的，1514字节=14字节以太网头+20IP头+20TCP头+1460字节数据行显示的应答信号ACK为：1781514222，这个数是57SEQ1781512762加上传送1460，2081号机说明已收到发来的数据。59、60行显示的是连续传送数据的过程。这个过程就像我向张三借书，借给我几本我要说：“我已借了你几本了。”，他说：“知道了”。头信息15-115-25758行的头信息，解释参考其次组。93-96行的数据16解释数据包93-96是两机通讯完关闭的过程。建立一个连接需要三次握手，而终止一个连接要经过4次握手。这是由于一个TCP连接是全双工〔即数据在两个方向上能同时传递〕，每个方向必需单独地进展关闭。4次握手实际上就是双方单独关闭的过程。本例文件下载完后，关闭扫瞄器终止了与效劳器的连接图16的93-96行显示的就是终止连接所4次握手过程。17-1208号机将FIN1连同序号(SEQ)987695574发给1号机恳求终止连接。行数据和图17-2显示1号机收到FIN关闭恳求后，发回一个确认，并将应答信号设置为收到1，这样就终止了这个方向的传输。17-31FIN1连同序号(SEQ)1773196056208号机恳求终止连接。行数据和图17-4显示208号机收到FIN关闭恳求后，发回一个确认，并将应答信号设置为收1TCP连接彻底关闭。头信息六、扫描实例下面我们再举个ping的实例，测试某台计算机是否通，最常用的命令就是ping命令。Ping一台计算机，消灭如图18所示界面就是通，消灭如图19pingiris跟踪上述状况。181920ping通的状况。如图21是ping不通该计算机不存在的状况。从图可以看出ARP恳求没有回应。如图22是ping不通，该计算机存在但安装了防火墙的状况。从图可以看出AR