一. TCP/IP協(xié)議族

TCP/IP是一個(gè)協(xié)議族壹若，通常分不同層次進(jìn)行開發(fā)嫌松，每個(gè)層次負(fù)責(zé)不同的通信功能。包含以下四個(gè)層次：

1. 鏈路層痘括，也稱作數(shù)據(jù)鏈路層或者網(wǎng)絡(luò)接口層，通常包括操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)中對(duì)應(yīng)的網(wǎng)絡(luò)接口卡扼仲。它們一起處理與電纜（或其他任何傳輸媒介）的物理接口細(xì)節(jié)远寸。

2. 網(wǎng)絡(luò)層，也稱作互聯(lián)網(wǎng)層屠凶，處理分組在網(wǎng)絡(luò)中的活動(dòng)驰后，例如分組的選路。網(wǎng)絡(luò)層協(xié)議包括IP協(xié)議（網(wǎng)際協(xié)議）矗愧、ICMP協(xié)議（Internet互聯(lián)網(wǎng)控制報(bào)文協(xié)議）灶芝，以及IGMP協(xié)議（Internet組管理協(xié)議）。

3. 運(yùn)輸層主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信唉韭。在TCP/IP協(xié)議族中夜涕，有兩個(gè)互不相同的傳輸協(xié)議：TCP（傳輸控制協(xié)議）和UDP（用戶數(shù)據(jù)報(bào)協(xié) 議）。TCP為兩臺(tái)主機(jī)提供高可靠性的數(shù)據(jù)通信属愤。他所作的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊交給下面的網(wǎng)絡(luò)層女器，確認(rèn)接收到的分組，設(shè)置發(fā)送最 后確認(rèn)分組的超時(shí)時(shí)鐘等住诸。由于運(yùn)輸層提供了高可靠性的端到端通信驾胆，因此應(yīng)用層可以忽略所有這些細(xì)節(jié)涣澡。而另一方面，UDP則為應(yīng)用層提供一種非常簡單的服 務(wù)丧诺。它只是把稱作數(shù)據(jù)報(bào)的分組從一臺(tái)主機(jī)發(fā)送到另一臺(tái)主機(jī)入桂，但并不保證該數(shù)據(jù)報(bào)能到達(dá)另一端。任何必須的可靠性必須由應(yīng)用層來提供驳阎。

4. 應(yīng)用層負(fù)責(zé)處理特定的應(yīng)用程序細(xì)節(jié)抗愁。包括Telnet（遠(yuǎn)程登錄）、FTP（文件傳輸協(xié)議）呵晚、SMTP（簡單郵件傳送協(xié)議）以及SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）等蜘腌。

wireshark抓到的包與對(duì)應(yīng)的協(xié)議層如下圖所示：

1. Frame:???物理層的數(shù)據(jù)幀概況

2. Ethernet?II:?數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

3. Internet Protocol Version 4:?互聯(lián)網(wǎng)層IP包頭部信息

4. Transmission Control Protocol:??傳輸層的數(shù)據(jù)段頭部信息，此處是TCP

5. Hypertext Transfer Protocol:??應(yīng)用層的信息饵隙，此處是HTTP協(xié)議

二. TCP協(xié)議

TCP是一種面向連接（連接導(dǎo)向）的逢捺、可靠的基于字節(jié)流的傳輸層通信協(xié)議。TCP將用戶數(shù)據(jù)打包成報(bào)文段癞季，它發(fā)送后啟動(dòng)一個(gè)定時(shí)器，另一端收到的數(shù)據(jù)進(jìn)行確認(rèn)倘潜、對(duì)失序的數(shù)據(jù)重新排序绷柒、丟棄重復(fù)數(shù)據(jù)。

TCP的特點(diǎn)有：

1. TCP是面向連接的運(yùn)輸層協(xié)議

2. 每一條TCP連接只能有兩個(gè)端點(diǎn)涮因，每一條TCP連接只能是點(diǎn)對(duì)點(diǎn)的

3. TCP提供可靠交付的服務(wù)

4. TCP提供全雙工通信废睦。數(shù)據(jù)在兩個(gè)方向上獨(dú)立的進(jìn)行傳輸。因此养泡，連接的每一端必須保持每個(gè)方向上的傳輸數(shù)據(jù)序號(hào)嗜湃。

5. 面向字節(jié)流。面向字節(jié)流的含義：雖然應(yīng)用程序和TCP交互是一次一個(gè)數(shù)據(jù)塊澜掩，但TCP把應(yīng)用程序交下來的數(shù)據(jù)僅僅是一連串的無結(jié)構(gòu)的字節(jié)流

TCP報(bào)文首部购披，如下圖所示：

1. 源端口號(hào)：數(shù)據(jù)發(fā)起者的端口號(hào)，16bit

2. 目的端口號(hào)：數(shù)據(jù)接收者的端口號(hào)肩榕，16bit

3. 序號(hào)：32bit的序列號(hào)刚陡，由發(fā)送方使用

4. 確認(rèn)序號(hào)：32bit的確認(rèn)號(hào)，是接收數(shù)據(jù)方期望收到發(fā)送方的下一個(gè)報(bào)文段的序號(hào)株汉，因此確認(rèn)序號(hào)應(yīng)當(dāng)是上次已成功收到數(shù)據(jù)字節(jié)序號(hào)加1筐乳。

5. 首部長度：首部中32bit字的數(shù)目，可表示15*32bit=60字節(jié)的首部乔妈。一般首部長度為20字節(jié)蝙云。

6. 保留：6bit, 均為0

7. 緊急URG：當(dāng)URG=1時(shí)，表示報(bào)文段中有緊急數(shù)據(jù)路召，應(yīng)盡快傳送勃刨。

8. 確認(rèn)比特ACK：ACK = 1時(shí)代表這是一個(gè)確認(rèn)的TCP包波材，取值0則不是確認(rèn)包。

9. 推送比特PSH：當(dāng)發(fā)送端PSH=1時(shí)朵你，接收端盡快的交付給應(yīng)用進(jìn)程各聘。

10. 復(fù)位比特（RST）：當(dāng)RST=1時(shí)，表明TCP連接中出現(xiàn)嚴(yán)重差錯(cuò)抡医，必須釋放連接躲因，再重新建立連接。

11. 同步比特SYN：在建立連接是用來同步序號(hào)忌傻。SYN=1大脉， ACK=0表示一個(gè)連接請(qǐng)求報(bào)文段。SYN=1水孩，ACK=1表示同意建立連接镰矿。

12. 終止比特FIN：FIN=1時(shí)，表明此報(bào)文段的發(fā)送端的數(shù)據(jù)已經(jīng)發(fā)送完畢俘种，并要求釋放傳輸連接秤标。

13. 窗口：用來控制對(duì)方發(fā)送的數(shù)據(jù)量，通知發(fā)放已確定的發(fā)送窗口上限宙刘。

14. 檢驗(yàn)和：該字段檢驗(yàn)的范圍包括首部和數(shù)據(jù)這兩部分苍姜。由發(fā)端計(jì)算和存儲(chǔ)，并由收端進(jìn)行驗(yàn)證悬包。

15. 緊急指針：緊急指針在URG=1時(shí)才有效衙猪，它指出本報(bào)文段中的緊急數(shù)據(jù)的字節(jié)數(shù)。

16. 選項(xiàng)：長度可變布近，最長可達(dá)40字節(jié)

wireshark捕獲到的TCP包中的每個(gè)字段如下圖所示：

三. TCP三次握手

TCP建立連接時(shí)垫释，會(huì)有三次握手過程，如下圖所示撑瞧，wireshark截獲到了三次握手的三個(gè)數(shù)據(jù)包棵譬。第四個(gè)包才是http的，說明http的確是使用TCP建立連接的季蚂。

下面來逐步分析三次握手過程：

第一次握手：客戶端向服務(wù)器發(fā)送連接請(qǐng)求包茫船，標(biāo)志位SYN（同步序號(hào)）置為1，序號(hào)為X=0

第 二次握手：服務(wù)器收到客戶端發(fā)過來報(bào)文扭屁，由SYN=1知道客戶端要求建立聯(lián)機(jī)算谈。向客戶端發(fā)送一個(gè)SYN和ACK都置為1的TCP報(bào)文，設(shè)置初始序號(hào) Y=0料滥，將確認(rèn)序號(hào)(Acknowledgement Number)設(shè)置為客戶的序列號(hào)加1然眼，即X+1 = 0+1=1, 如下圖：

第 三次握手：客戶端收到服務(wù)器發(fā)來的包后檢查確認(rèn)序號(hào)(Acknowledgement Number)是否正確，即第一次發(fā)送的序號(hào)加1（X+1=1）葵腹。以及標(biāo)志位ACK是否為1高每。若正確屿岂，服務(wù)器再次發(fā)送確認(rèn)包，ACK標(biāo)志位為1鲸匿，SYN標(biāo) 志位為0爷怀。確認(rèn)序號(hào)(Acknowledgement Number)=Y+1=0+1=1，發(fā)送序號(hào)為X+1=1带欢≡耸冢客戶端收到后確認(rèn)序號(hào)值與ACK=1則連接建立成功，可以傳送數(shù)據(jù)了乔煞。

四. TCP四次揮手

TCP斷開連接時(shí)吁朦，會(huì)有四次揮手過程，如下圖所示渡贾，wireshark截獲到了四次揮手的四個(gè)數(shù)據(jù)包逗宜。

下面來逐步分析四次揮手過程：

第一次揮手：客戶端給服務(wù)器發(fā)送TCP包，用來關(guān)閉客戶端到服務(wù)器的數(shù)據(jù)傳送空骚。將標(biāo)志位FIN和ACK置為1纺讲，序號(hào)為X=1，確認(rèn)序號(hào)為Z=1囤屹。

服務(wù)器收到FIN后刻诊，發(fā)回一個(gè)ACK(標(biāo)志位ACK=1),確認(rèn)序號(hào)為收到的序號(hào)加1，即X=X+1=2牺丙。序號(hào)為收到的確認(rèn)序號(hào)=Z。

服務(wù)器關(guān)閉與客戶端的連接复局，發(fā)送一個(gè)FIN冲簿。標(biāo)志位FIN和ACK置為1，序號(hào)為Y=1亿昏，確認(rèn)序號(hào)為X=2峦剔。

客戶端收到服務(wù)器發(fā)送的FIN之后，發(fā)回ACK確認(rèn)(標(biāo)志位ACK=1),確認(rèn)序號(hào)為收到的序號(hào)加1角钩，即Y+1=2吝沫。序號(hào)為收到的確認(rèn)序號(hào)X=2。

未經(jīng)博主同意递礼，請(qǐng)勿轉(zhuǎn)載

點(diǎn)擊下面的廣告惨险，感謝您對(duì)本博客的支持。

http://www.seanyxie.com/wireshark%E6%8A%93%E5%8C%85%E5%9B%BE%E8%A7%A3-tcp%E4%B8%89%E6%AC%A1%E6%8F%A1%E6%89%8B%E5%9B%9B%E6%AC%A1%E6%8C%A5%E6%89%8B%E8%AF%A6%E8%A7%A3/