使用Wireshark分析TCP协议

《使用Wireshark分析TCP协议》由会员分享，可在线阅读，更多相关《使用Wireshark分析TCP协议（8页珍藏版）》请在装配图网上搜索。

1、实验五 使用Wireshark分析TCP协议一、实验目的分析TCP协议二、实验环环境与因特网连连接的计计算机，操操作系统统为Wiindoows，安安装有WWireeshaark、IE等软软件。三、实验步步骤1、TCPP介绍（1）连接接建立：TCP连接接通过称称为三次次握手的的三条报报文来建建立的。在Wireshark中选择open-file,选择文件tcp_pcattcp_n1.cap，其中分组3到5显示的就是三次握手。第一条报文文没有数数据的TTCP报报文段，并并将首部部SYNN位设置置为1。因因此，第第一条报报文常被被称为SSYN分分组。这这个报文文段里的的序号可可以设置置成任何何值，表表

2、示后续续报文设设定的起起始编号号。连接接不能自自动从11开始计计数，选选择一个个随机数数开始计计数可避避免将以以前连接接的分组组错误地地解释为为当前连连接的分分组。观观察分组组3，WWireeshaark显显示的序序号是00。选择择分组首首部的序序号字段段，原始始框中显显示“94 f2 2e be”。Wiiressharrk显示示的是逻逻辑序号号，真正正的初始始序号不不是0。如图1所示：图：逻辑辑序号与与实际初初始序号号SYN分组组通常是是从客户户端发送送到服务务器。这这个报文文段请求求建立连连接。一一旦成功功建立了了连接，服服务器进进程必须须已经在在监听SSYN分分组所指指示的IIP地址址和

3、端口口号。如如果没有有建立连连接，SSYN分分组将不不会应答答。如果果第一个个分组丢丢失，客客户端通通常会发发送若干干SYNN分组，否否则客户户端将会会停止并并报告一一个错误误给应用程程序。如果服务器器进程正正在监听听并接收收到来的的连接请请求，它它将以一一个报文文段进行行相应，这这个报文文段的SSYN位位和ACCK位都都置为11。通常常称这个个报文段段为SYYNACCK分组组。SYYNACCK分组组在确认认收到SSYN分分组的同同时发出出一个初初始的数数据流序序号给客客户端。分组4的确确认号字字段在WWireeshaark的的协议框框中显示示1，并并且在原原始框中中的值是是“94 f2 2e

4、 bf”（比“94 f2 2e be”多1）。这这解释了了TCPP的确认认模式。TTCP接接收端确确认第XX个字节节已经收收到，并并通过设设置确认认号为XX+1来来表明期期望收到到下一个个字节号号。分组组4的序序号字段段在Wiiressharrk的协协议显示示为0，但但在原始始框中的的实际值值却是“84 ca be b3”。这表表明TCCP连接接的双方方会选择择数据流流中字节节的起始始编号。所所有初始始序号逻逻辑上都都视同为为序号00。最后，客户户端发送送带有标标志ACCK的TTCP报报文段，而而不是带带SYNN的报文文段来完完成三次次握手的的过程。这这个报文文段将确确认服务务器发送送的SYY

5、NACCK分组组，并检检查TCCP连接接的两端端是否正正确打开开合运行行。（2）关闭闭连接当两端交换换带有FFIN标标志的TTCP报报文段并并且每一一端都确确认另一一端发送送的FIIN包时时，TCCP连接接将会关关闭。FFIN位位字面上上的意思思是连接接一方再再也没有有更多新新的数据据发送。然然而，那那些重传传的数据据会被传传送，直直到接收收端确认认所有的的信息。在在tcpp_pccatttcp_n1.capp中，通通过分组组13至至16我我们可以以看到TTCP连连接被关关闭。2、TCPP重传当一个TCCP发送送端传输输一个报报文段的的同时也也设置了了一个重重传计时时器。当当确认到到达时，这这

6、个计时时器就自自动取消消。如果果在数据据的确认认信息到到达之前前这个计计时器超超时，那那么数据据就会重重传。重传计时器器能够自自动灵活活设置。最最初TCCP是基基于初始始的SYYN和SSYN ACKK之间的的时间来来设置重重传计时时器的。它基于这个值多次设置重传计时器来避免不必要的重传。在整个TCP连接中，TCP都会注意每个报文段的发送和接到相应的确认所经历的时间。TCP在重传数据之前不会总是等待一个重传计算器超时。TCP也会把一系列重复确认的分组当作是数据丢失的征兆。在Wireeshaark中中选择ffilee-oopenn,打开开文件ppcatttcpp_reetraans_t.ccap和

7、和pcaattccp_rretrranss_r.capp，对所俘俘获的分分组进行行分析如如下：（1） SACK选选项协商商在上面的每每次跟踪踪中，我我们能观观察建立立连接的的三次握握手。在在SYNN分组中中，发送送端在TTCP的的首部选选项中通通过包括括SACCK ppermmittted选选项来希希望使用用TCPPSAACK。在在SYNN ACCK包中中接收端端表示愿愿意使用用SACCK。这这样双方方都同意意接收选选择性确确认信息息。SAACK选选项如图图2所示示：图2：SAACK选选项在TCP SACCK选项项中，如如果连接接的一端端接收了了失序数数据，它它将使用用选项区区字段来来发送关关

8、于失序序数据起起始和结结束的信信息。这这样允许许发送端端仅仅重重传丢失失的数据据。TCCP接收收端不能能传递它它们接收收到的失失序数据据给处于于等待状状态的应应用程序序，因为为它总是是传递有有序数据据。因此此，接收收到的失失序数据据要么被被丢掉，要要么被存存储起来来。接收端的存存储空间间是有限限的，TTCP发发送端必必须保存存一份已已发送的的数据的的副本，以以防止数数据需要要重发。发发送端必必须保存存数据直直到它们们收到数数据的确确认信息息为止。接收端通常常会分配配一个固固定大小小的缓冲冲区来存存储这些些失序数数据和需需要等待待一个应应用程序序读取的的数据。如果缓冲区空间不能容纳下更多数据，那

9、么接收端只有将数据丢弃，即使它是成功到达的。接收端的通知窗口字段用来通知发送端还有多少空间可以用于输入数据。如果数据发送的速度快于应用程序处理数据的速度，接收端就会发送一些信息来告知发送端其接收窗口正在减小。在这个跟踪文件中，接收端通知窗口的大小是变化的，从16520个字节到17520个字节。TCP发送送端在发发送之前前有一个个容纳数数据的有有限空间间。然而而，和接接收端不不同的是是，发送送端是限限制自己己的发送送速率。如如果缓冲冲区的空空间满了了，尝试试写入更更多数据据的应用用程序将将被阻塞塞直到有有更多的的空间可可以利用用为止。（2）分组组的丢失失与重传传用显示过滤滤器tccp.aanal

10、lysiis.rretrranssmisssioon搜索索重传。在在pcaattccp_rretrranss_t.capp中应用用该过滤滤器，在在这个跟跟踪文件件中，我我们看见见分组112是这这9次重重传的第第一次。如图所示3：图3：pccatttcp_rettranns_tt.caap中次重传传通过观察分分组122的细节节，我们们发现序序号是110011，我们们发现分分组5也也有同样样的序号号。有趣趣的是，分分组5是是对10001到到24660号字字节的传传输，而而分组112却是是对10001到到20000号字字节的重重传。分分组200是对220011到24460号号字节的的重传。分组4是对

11、对1到110000号字节节的传输输，分组组5是对对10001到224600号字节节的传输输，分组组7是对对24661到339200号字节节的传输输。我们已检查查了发送送端上获获取的所所有跟踪踪记录。我我们从接接收端的的角度来来看同一一个连接接，我们们会发现现有些不不同。在在pcaattccp_rretrranss_r.capp中，我我们发现现1到110000号字节节是在分分组4里里被传送送的，而而24661到339200号字节节是在分分组6（而而不是分分组7）中中被传送送的。在在这个跟跟踪文件件中，分分组5是是1到110000号字节节的确认认。我们们没有看看到10001到到24660号字字节的

12、传传输。但但是他们们确实被被传输送送了，只只是在发发送端和和接收端端的某个个环节丢丢失了。现在我们来来看接收收端是如如何处理理这些丢丢失字节节的。在在分组44达到以以后，接接收端会会以确认认号10001（分分组5）作作为响应应。在分分组6的的24661到339200号字节节达到之之后，接接收端仍仍然以确确认号110011（分组组7）作作为响应应。即使使它接到到的是附附加数据据，确认认号仍然然是它期期望收到到的下一一个有序序字节的的序号。同同样在含含有39921到到53881号字字节的分分组8到到达之后后，接收收端仍然然以10001响响应。最后，10001到到20000号字字节被重重传。在在这两

13、次次跟踪中中，我们们都在分分组122里看到到这种情情况。于于是接收收端增加加它的确确认号到到20001。最终20001到224600号字节节被重传传。在这这次重传传之后，接接收端可可以立即即从确认认字节220011跳到确确认字节节112221。四、实验报报告内容容在实验的基基础上，回回答以下下问题：1. 客户服务器器之间用用于初始始化TCCP连接接的TCCP SSYN报报文段的的序号（ssequuencce nnumbber）是是多少？在该报报文段中中，是用用什么来来标识该报文文段是SSYN报报文段的的？2. 服务器向客客户端发发送的SSYNAACK报报文段序序号是多多少？该该报文段段中，AACKnnowlledggemeent字字段的值值是多少少？3. 找出pcaattccp_rretrranss_t.capp中所有有在到达达接收端端之前丢丢失的分分组。对对于每个个丢失的的报文段段，找出出重传分分组（提提示：找找出第一一个丢失失的字节节和重传传它们的的分组）4. 当接收端发发送一个个TCPP报文段段来确认认收到的的数据时时，这个个报文段段也可能能丢失。在在pcaattccp_rretrranss_t.capp和pccatttcp_rettranns_rr.caap中存存在这样样的丢失失吗？你你是怎么么得到这这样的答答案的？