TCP協議基礎知識及wireshark抓包分析實戰


TCP相關知識

應swoole長連接開發調研相關TCP知識並記錄。

數據封包流程

 

 

如圖,如果我需要發送一條數據給用戶,實際的大小肯定是大於你發送的大小,在各個數據層都進行了數據的封包,以便你的數據能完整的發給你想要的用戶。

 

以太網的數據包的負載是1500字節,IP包頭需要20個字節,TCP的包頭需要20個字節,實際的數據內容大小則是1460個字節,如圖:

 

 

 

 

OSI模型術語

 

 

應用層:

如nginx、swoole等,大部分的數據都只需要關心應用層即可,我需要傳輸什么數據,我只需要調用對應的方法、發送給已知的IP、端口即可。

 

TCP層:

對應用層的數據進行包裝,TCP的報文格式如下圖,TCP/UDP層規定了數據的交換格式,如何進行握手、鏈接,如果加快數據傳輸、保證數據的完整性等。

 

TCP層主要有幾個算法可以關注下:

慢啟動、擁塞避免、快速重傳、快恢復、滑動窗口

 

IP層:

細心的人也許已經發現TCP報文格式只有你發送的源端口和目標端口,並沒有要發送的IP地址和你的IP地址,這些其實都封包在IP層

 

數據鏈路層:

數據轉換為frame(幀)進行數據傳輸,為終端通信提供傳輸媒體和鏈接,常用設備有網卡、交換機等

 

物理層:

傳輸比特流,物理設備傳輸的層,屬於硬件領域范疇,如光纖設備

TCP報文格式

 

 

 

Wireshark抓的某個包截圖:

 

 

TCP報文格式說明

1、端口號:用來標識同一台計算機的不同的應用進程。

 

1)源端口:源端口和IP地址的作用是標識報文的返回地址。

 

2)目的端口:端口指明接收方計算機上的應用程序接口。

 

TCP報頭中的源端口號和目的端口號同IP數據報中的源IP與目的IP唯一確定一條TCP連接。

 

2、序號和確認號:是TCP可靠傳輸的關鍵部分。序號是本報文段發送的數據組的第一個字節的序號。在TCP傳送的流中,每一個字節一個序號。e.g.一個報文段的序號為300,此報文段數據部分共有100字節,則下一個報文段的序號為400。所以序號確保了TCP傳輸的有序性。確認號,即ACK,指明下一個期待收到的字節序號,表明該序號之前的所有數據已經正確無誤的收到。確認號只有當ACK標志為1時才有效。比如建立連接時,SYN報文的ACK標志位為0。

 

3、數據偏移/首部長度:4bits。由於首部可能含有可選項內容,因此TCP報頭的長度是不確定的,報頭不包含任何任選字段則長度為20字節,4位首部長度字段所能表示的最大值為1111,轉化為10進制為15,15*32/8 = 60,故報頭最大長度為60字節。首部長度也叫數據偏移,是因為首部長度實際上指示了數據區在報文段中的起始偏移值。

 

4、保留:為將來定義新的用途保留,現在一般置0。

 

5、控制位:URG  ACK  PSH  RST  SYN  FIN,共6個,每一個標志位表示一個控制功能。

 

1)URG緊急指針標志,為1時表示緊急指針有效,為0則忽略緊急指針。

 

2)ACK確認序號標志,為1時表示確認號有效,為0表示報文中不含確認信息,忽略確認號字段。

 

3)PSHpush標志,為1表示是帶有push標志的數據,指示接收方在接收到該報文段以后,應盡快將這個報文段交給應用程序,而不是在緩沖區排隊。

 

4)RST重置連接標志,用於重置由於主機崩潰或其他原因而出現錯誤的連接。或者用於拒絕非法的報文段和拒絕連接請求。

 

5)SYN同步序號,用於建立連接過程,在連接請求中,SYN=1和ACK=0表示該數據段沒有使用捎帶的確認域,而連接應答捎帶一個確認,即SYN=1和ACK=1。

 

6)FINfinish標志,用於釋放連接,為1時表示發送方已經沒有數據發送了,即關閉本方數據流。

 

6、窗口:滑動窗口大小,用來告知發送端接受端的緩存大小,以此控制發送端發送數據的速率,從而達到流量控制。窗口大小時一個16bit字段,因而窗口大小最大為65535。

 

7、校驗和:奇偶校驗,此校驗和是對整個的 TCP 報文段,包括 TCP 頭部和 TCP 數據,以 16 位字進行計算所得。由發送端計算和存儲,並由接收端進行驗證。

 

8、緊急指針:只有當 URG 標志置 1 時緊急指針才有效。緊急指針是一個正的偏移量,和順序號字段中的值相加表示緊急數據最后一個字節的序號。 TCP 的緊急方式是發送端向另一端發送緊急數據的一種方式。

 

9、選項和填充:最常見的可選字段是最長報文大小,又稱為MSS(Maximum Segment Size),每個連接方通常都在通信的第一個報文段(為建立連接而設置SYN標志為1的那個段)中指明這個選項,它表示本端所能接受的最大報文段的長度。選項長度不一定是32位的整數倍,所以要加填充位,即在這個字段中加入額外的零,以保證TCP頭是32的整數倍。

 

10、數據部分: TCP 報文段中的數據部分是可選的。在一個連接建立和一個連接終止時,雙方交換的報文段僅有 TCP 首部。如果一方沒有數據要發送,也使用沒有任何數據的首部來確認收到的數據。在處理超時的許多情況中,也會發送不帶任何數據的報文段。

TCP三次握手圖形

 

 

IP報文格式參考

 

IP報文是對TCP的數據進行了一次包裝,再發送給數據鏈路層,IP報文格式固定格式為20個字節,如圖:

 

更多協議(IP TCP UDP)的報文格式參考:

http://blog.51cto.com/mmanong/1962353

TCP 窗口大小(cwnd)

 

TCP慢啟動

當第一次進行SYN建立鏈接的時候,客戶端會與服務端進行溝通MSS的大小,一般為1460 Byte,每當有一個報文字段被確認,cwnd就增加一個MSS大小,這樣隨着網絡時間RTT的呈指數級增長,但是也不會一直指數級別增加,會有一個最大值的限制

 

 

數據測試

服務端腳本(swoole)

<?php

$server = new swoole_server("::", 9503);

$server->on('connect', function ($server, $fd){

    echo "connection open: {$fd}\n";

});

$server->on('receive', function ($server, $fd, $reactor_id, $data) {

    $server->send($fd, "Swoole: {$data}");

    $server->close($fd);

});

$server->on('close', function ($server, $fd) {

    echo "connection close: {$fd}\n";

});

$server->start();

  

Wireshark抓包

客戶端發送數據后進行抓包,如圖:

 

 

Wireshark流程統計查看

統計-流量圖-顯示過濾器的限制,選擇TCP Flows:

從結果可以看到tcp從SYN、ACK、FIN的整個過程及每個過程的耗時情況。

 

 

 

 

TCP窗口大小調研結論

1、  TCP一次數據包發送數據大小不能超過MMS設置,一般為1460字節

2、  TCP慢啟動特性在初始傳輸數據的時候並不是直接發送1460數據,而通過慢啟動算法指數遞增,算法本身不支持進行參數改動

 

參考資料

《TCP協議簡介》 http://www.ruanyifeng.com/blog/2017/06/tcp-protocol.html

《TCP擁塞控制慢啟動窗口設置》 https://blog.csdn.net/lishanmin11/article/details/77186820

《C語言setsockopt函數》 http://c.biancheng.net/cpp/html/374.html

《wireshark使用幫助》 http://www.cnblogs.com/dragonir/p/6219541.html

《網絡基本功系列文章》 https://wizardforcel.gitbooks.io/network-basic/content/7.html  


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM