TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。由IETF的RFC 793定义TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接。
(图片来源于网络)
在学习网络协议的报文交互过程时、在处理网络问题时,抓包进行分析是一个非常好的手段,我们前面也多次验证了这个结论。为了帮助大家了解报文结构,我就把之前抓的Telnet的报文拿出来简单分析一下。
其中一个报文的内容具体如下:
物理链路层中数据用电信号传输,对应0和1,一个信号为1 bit;报文中为16进制(0x表示),一个占4位(bit),一组占8 bit。
最外层(Ethernet II,数据链路层封装)占用14 * 8 = 112 bit。
其中6 * 8 = 48 bit(1-48 bit)为目的MAC地址;
6 * 8 = 48 bit(49-96 bit)为源MAC地址;
2 * 8 = 16 bit(97-112 bit)表示封装协议为IPv4。
第二层(IP,网络层)占用20 * 8 = 160 bit。
其中113-116 bit表示IP协议版本号为4,即IPv4;
117-120 bit表示报文头长度共20字节(byte,1 byte=8 bit),占用80 bit长度;
121-128 bit表示DS Field(区分服务域),占用8 bit,前6 bit为DSCP(区分服务代码点,即DS标记值),后2 bit为CU或ECN(显示拥塞通知),这两部分共同组成一个可扩展性相对较强的方法以此来保证IP的服务质量;
129-144 bit表示总长度,此处为60,
145-160 bit表示标识符
161-176 bit表示标志和片移位,如果报文有分片相关属性,此处标志会变化;
177-184 bit表示TTL值;
185-192 bit表示内层封装协议,本报文中为TCP协议;
193-208 bit表示头部校验和;
209-240 bit表示源IP地址,转换为点分10进制即为10.1.1.2;
241-272 bit表示目的IP地址,转换为点分10 进制即为10.1.1.2。
第三层(TCP,传输层)占用剩余位。
273-288 bit为源端口号;
288-304 bit为目的端口号;
305-336 bit为序列号,即TCP三次握手中的seq;
337-368 bit为应答码,即TCP三次握手中的ack;
369-384 bit为SYN标志位,即TCP三次握手中的SYN;
385-400 bit为窗口大小;
401-416 bit为校验和;
417-432 bit为URG位,urgent机制,是用于通知应用层需要接收urgent data,在urgent data接收完成后,通知应用层urgent data数据接收完毕;
433-592 bit为20bytes的各类options,其中:
433-464 bit为MMS相关项,包含8 bit的类型(2为Maxium Segment Size,TCP一次传输发送的最大数据段长度),8 bit的长度,16bit的MMS值;
465-472 bit为MOP相关项;
473-496 bit为滑动窗口项;
497-512 bit为允许SACK项(选择确认,TCP收到乱序数据后,会将其放入乱序队列中,然后发送重复ACK给对端。对端收到多个重复的ACK后,就会推测到可能发生了数据丢失,再重传数据。如果乱序的数据比较零散,则这种机制的效率会很低。使用SACK选项可以告知发包方收到了哪些数据,发包方收到这些信息后就会知道哪些数据丢失,然后立即重传缺失部分即可。这就大大提高了数据重传的速度。)
513-592 bit为时间戳项,包含报文发送时间TSvla和接收端接收时间TSecr。(当发送端收到ACK Segment后,取出TSscr,和当前时间做算术差,即可完成一次RTT的测量。若非通过Timestamp Option来计算RTT,大部分TCP实现只会以“每个Window采样一次”的频率来测算RTT。因此通过Timestamp Option,可以实现更密集的RTT采样,使RTT的测算更精确。)
然后我抓了一个本地访问远程主机的报文来对比一些关键位的信息,如下:
可以看到是请求远程桌面的回包,由目的主机的3389回包。个别关键字段如下:
最外层,因为跨三层转发,所有目的MAC地址为网关设备MAC地址,源MAC地址为服务器网卡信息,此处用的是一台安装VMWare ESXI的服务器上的虚拟机。
网络层,可以看到我的电脑IP地址为172.2.105.16,服务器IP地址为172.2.216.70;协议为TCP,TTL值为64,报文不允许分片,报文长度为1500 bytes。数了一下,报文共5e0行,缺6个,转换为10进制,就是95行,一行16组,为16*94-4=1514,1组8 bit为1个byte,去掉数据链路层的14 bytes,正好1500 bytes。
传输层,可以看到源端口为3389(远程桌面端口号),目的端口为53672;TCP分片长度为1460,此报文序列号为25588,下一个报文序列号为27048,窗口大小为254,TCP载荷为1460 bytes。
数据段内容主要是长度,为1460 bytes,与传输层中TCP载荷大小相同。
与前面的报文分析相对应,我们平时接触的都是面向用户的应用层各种服务,比如HTTP、STMP等等,需要通过表示层进行数据转换,转换成符合通信服务协议要求的数据格式。会话层的会话我们相对熟悉一些,基于传输层协议TCP/UDP建立的连接,建立通信进程之间的会话联系,完成每一次数据交互。
而传输层最主要的TCP和UDP协议,也是可以从报文中比较清楚地分辨出来的一层。从前面的报文分析中我们也能看出,传输层的关键依赖项就是网络层的IP协议簇,最基础的就是IP地址,再结合端口号信息,就组成了传输层的关键功能,至于一些扩展项,都可以和上层协议结合起来。比如通过知名端口号标识知名服务,如Telnet的TCP 23端口、HTTP的TCP 80端口、DNS的UDP 53端口等等,但是也要注意,知名端口是默认端口,协议类型并没有完全限定到固定的端口,应用层和传输层是解耦的。
至于控制网络转发的网络层协议,需要在源目的节点之间进行路由选择、拥塞控制、顺序控制及报文传送,保证报文的正确性。数据链路层可以把不可靠的信道变为可靠的信道,将比特组成帧,在链路上提供点到点的帧传输,并进行差错控制、流量控制等。
最底层的物理层,就要将数字信号转换成模拟电路信号或数字电路信号,在物理链路上透明地传输bit位。
最后,一张OSI开放系统互连参考模型层次模型送给大家:
