Blog @ Blog

TCP/IP 數據包頭格式 （轉）

最近狂補基礎，猛看TCP/IP協議。不過，書上的東西太抽象了，沒有什么數據實例，看了不 久就忘了。于是，搬來一個sniffer，抓了數據包來看，呵呵，結合書里面得講解，理解得 比較快。我就來灌點基礎知識?！?

　　開始吧，先介紹IP協議?！?

　　IP協議（Internet Protocol）是網絡層協議，用在因特網上，TCP，UDP，ICMP，IGMP數據都是按照IP數據格式發送得。IP協議提供的是不可靠無連接得服務。IP數據包由一個頭部和一個正文部分構成。正文主要是傳輸的數據，我們主要來理解頭部數據，可以從其理解到IP協議。　

　　IP數據包頭部格式（RFC791）

　　Example Internet Datagram Header　

　　上面的就是IP數據的頭部格式，這里大概地介紹一下?！?

　　IP頭部由20字節的固定長度和一個可選任意長度部分構成，以大段點機次序傳送，從左到 右?！?

　　TCP協議　

　　TCP協議（TRANSMISSION CONTROL PROTOCOL）是傳輸層協議，為應用層提供服務，和UDP不同的是，TCP協議提供的可靠的面向連接的服務。在RFC793中是基本的TCP描述。關于TCP協議的頭部格式內容的說明：　

　　TCP Header FORMat　

　

　　TCP Header FORMat　

　　跟IP頭部差不多，基本的長度也是20字節。TCP數據包是包含在一個IP數據報文中的?！?

　　好了，簡單介紹到此為止。來看看我捕獲的例子吧。這是一次FTP的連接，呵呵，是cuteftp默認的cuteftp的FTP站點，IP地址是：216.3.226.21。我的IP地址假設為:192.168.1.1。下面的數據就是TCO/IP連接過程中的數據傳輸。我們可以分析TCP/IP協議數據格式以及TCP/IP連接的三次握手（ThreeWay-Handshake）情況。下面的這些十六進制數據只是TCP/IP協議的數據，不是完整的網絡通訊數據?！?

　　第一次，我向FTP站點發送連接請求（我把TCP數據的可選部分去掉了）　

　　192.168.1.1->216.3.226.21　

　　IP頭部： 45 00 00 30 52 52 40 00 80 06 2c 23 c0 a8 01 01 d8 03 e2 15　

　　TCP頭部：0d 28 00 15 50 5f a9 06 00 00 00 00 70 02 40 00 c0 29 00 00　

　　來看看IP頭部的數據是些什么。　

　　第一字節，“45”，其中“4”是IP協議的版本（Version），說明是IP4。“5”是IHL位，表示IP頭部的長度，是一個4bit字段，最大就是1111了，值為12，IP頭部的最大長度就是60字節。而這里為“5”，說明是20字節，這是標準的IP頭部長度，頭部報文中沒有發送可選部分數據?！?

　　接下來的一個字節“00”是服務類型（Type of Service）。這個8bit字段由3bit的優先權子字段（現在已經被忽略），4 bit的TOS子字段以及1 bit的未用字段（現在為0）構成.4 bit的TOS子字段包含：最小延時、最大吞吐量、最高可靠性以及最小費用構成，這四個1bit位最多只能有一個為1，本例中都為0，表示是一般服務?！?

　　接著的兩個字節“00 30”是IP數據報文總長，包含頭部以及數據，這里表示48字節。這48字節由20字節的IP頭部以及28字節的TCP頭構成（本來截取的TCP頭應該是28字節的，其中8字節為可選部分，被我省去了）。因此目前最大的IP數據包長度是65535字節?！?

　　再是兩個字節的標志位（Identification）：“5252”，轉換為十進制就是21074。這個是讓目的主機來判斷新來的分段屬于哪個分組?！?

　　下一個字節“40”，轉換為二進制就是“0100 0000”，其中第一位是IP協議目前沒有用上的，為0。接著的是兩個標志DF和MF。DF為1表示不要分段，MF為1表示還有進一步的分段（本例為0）。然后的“0 0000”是分段便移（Fragment Offset）?！?

　　“80”這個字節就是TTL（Time To Live）了，表示一個IP數據流的生命周期，用Ping顯示的結果，能得到TTL的值，很多文章就說通過TTL位來判別主機類型。因為一般主機都有默認的TTL值，不同系統的默認值不一樣。比如WINDOWS為128。不過，一般Ping得到的都不是默認值，這是因為每次IP數據包經過一個路由器的時候TTL就減一，當減到0時，這個數據包就消亡了。這也時Tracert的原理。本例中為“80”，轉換為十進制就是128了，我用的WIN2000。　

　　繼續下來的是“06”，這個字節表示傳輸層的協議類型（Protocol）。在RFC790中有定義，6表示傳輸層是TCP協議?！?

　　“2c 23”這個16bit是頭校驗和（Header Checksum）?！?

　　接下來“c0 a8 01 01”，這個就是源地址（Source Address）了，也就是我的IP地址。

　　轉換為十進制的IP地址就是：192.168.1.1，同樣，繼續下來的32位“d8 03 e2 15”是目標地址，216.3.226.21　

　　好了，真累啊，終于看完基本的20字節的IP數據報頭了。繼續看TCP的頭部吧，這個是作為IP數據包的數據部分傳輸的?！?

　　TCP頭部：0d 28 00 15 50 5f a9 06 00 00 00 00 70 02 40 00 c0 29 00 00　

　　一來就是一個兩字節段“0d 28”，表示本地端口號，轉換為十進制就是3368。第二個兩字節段“00 15”表示目標端口，因為我是連接FTP站點，所以，這個就是21啦，十六進制當然就是“00 15”。　

　　接下來的四個字節“50 5f a9 06”是順序號（Sequence Number），簡寫為SEQ，SEQ=1348446470下面的四個字節“00 00 00 00”是確認號（Acknowledgment Number），簡寫為ACKNUM。　

　　繼續兩個字節，“70 02”，轉換為二進制吧，“0111 0000 0000 0010”。這兩個字節,總共16bit，有好多東西呢。第一個4bit“0111”，是TCP頭長，十進制為7，表示28個字節（剛才說了，我省略了8字節的option數據，所以你只看見了20字節）。接著的6bit現在TCP協議沒有用上，都為0。最后的6bit“00 0010”是六個重要的標志。這是兩個計算機數據交流的信息標志。接收和發送斷根據這些標志來確定信息流的種類。下面是一些介紹：　

　　URG：（Urgent Pointer field significant）緊急指針。用到的時候值為1，用來處理避免TCP數據流中斷　

　　ACK：（Acknowledgment fieldsignificant）置1時表示確認號（AcknowledgmentNumber）為合法，為0的時候表示數據段不包含確認信息，確認號被忽略?！?

　　PSH：（Push Function），PUSH標志的數據，置1時請求的數據段在接收方得到后就可直接送到應用程序，而不必等到緩沖區滿時才傳送。　

　　RST：（Reset the connection）用于復位因某種原因引起出現的錯誤連接，也用來拒絕非法數據和請求。如果接收到RST位時候，通常發生了某些錯誤?！?

　　SYN：（Synchronize sequence numbers）用來建立連接，在連接請求中，SYN=1，ACK=0，連接響應時，SYN=1，ACK=1。即，SYN和ACK來區分Connection Request和Connection Accepted?！?

　　FIN：（No more data from sender）用來釋放連接，表明發送方已經沒有數據發送了。　

　　這6個標志位，你們自己對號入座吧。本例中SYN=1，ACK=0，當然就是表示連接請求了。我們可以注意下面兩個過程的這兩位的變換?！?

　　后面的“40 00 c0 29 00 00”不講了，呵呵，偷懶了。后面兩次通訊的數據，自己分開看吧。我們看看連接的過程，一些重要地方的變化?！?

　　第二次，FTP站點返回一個可以連接的信號?！?

　　216.3.226.21->192.168.1.1　

　　IP頭部： 45 00 00 2c c6 be 40 00 6a 06 cd ba d8 03 e2 15 c0 a8 01 01　

　　TCP頭部：00 15 0d 28 4b 4f 45 c1 50 5f a9 07 60 12 20 58 64 07 00 00　

　　第三次，我確認連接。TCP連接建立起來?！?

　　192.168.1.1->216.3.226.21　

　　IP頭部： 45 00 00 28 52 53 40 00 80 06 2c 2a c0 a8 01 01 d8 03 e2 15　

　　TCP頭部：0d 28 00 15 50 5f a9 07 4b 4f 45 c2 50 10 40 b0 5b 1c 00 00　

　　好，我們看看整個Threeway_handshake過程?！?

　　第一步，我發出連接請求，TCP數據為：SEQ=50 5f a9 06，ACKNUM=00 00 00 00，SYN=1，ACK=0?！?

　　第二步，對方確認可以連接，TCP數據為：SEQ=4b 4f 45 c1，ACKNUM=50 5f a9 07，SYN=1，ACK=1。　

　　第三步，我確認建立連接。SEQ=50 5f a9 07， ACKNUM=4b 4f45c2，SYN=0，ACK=1。　

　　可以看出什么變化么？正式建立連接了呢，這些東西是什么值？　

　　我接收從216.3.226.21->192.168.1.1的下一個數據包中：　

　　SEQ=4b 4f 45 c2，ACKNUM=50 5f a9 07,SYN=0,ACK=1這些都是很基礎的東西，對于編寫sniffer這樣的東西是必須非常熟悉的。這里只講解了TCP/IP協議的一點點東西，主要是頭部數據的格式

posted on 2008-05-16 14:50 isabc 閱讀(4309) 評論(0)  編輯 收藏 引用 所屬分類: C++基礎