一. MAC帧定义
/*数据帧定义,头14个字节,尾4个字节*/
typedef struct _MAC_FRAME_HEADER
{
char m_cDstMacAddress[6]; //目的mac地址
char m_cSrcMacAddress[6]; //源mac地址
short m_cType; //上一层协议类型,如0x0800代表上一层是IP协议,0x0806为arp
} __attribute__((packed))MAC_FRAME_HEADER,*PMAC_FRAME_HEADER;
typedef struct _MAC_FRAME_TAIL
{
unsigned int m_sCheckSum; //数据帧尾校验和
} __attribute__((packed))MAC_FRAME_TAIL, *PMAC_FRAME_TAIL;
二. IP报文格式
IP协议
是TCP/IP协议族中最为核心的协议。它提供不可靠、无连接的服务,也即依赖其他层的协议进行差错控制。在局域网环境,IP协议往往被封装在以太网帧中传送。而所有的TCP
、UDP
、ICMP
、IGMP
数据都被封装在IP数据报中传送。
/*IP头定义,共20个字节*/
typedef struct _IP_HEADER
{
char m_cVersionAndHeaderLen; //版本信息(前4位),头长度(后4位)
char m_cTypeOfService; // 服务类型8位
short m_sTotalLenOfPacket; //数据包长度
short m_sPacketID; //数据包标识
short m_sSliceinfo; //分片使用
char m_cTTL; //存活时间
char m_cTypeOfProtocol; //协议类型
short m_sCheckSum; //校验和
unsigned int m_uiSourIp; //源ip
unsigned int m_uiDestIp; //目的ip
} __attribute__((packed))IP_HEADER, *PIP_HEADER ;
其中:
● 版本(Version)
:占4比特。用来表明IP协议实现的版本号,当前一般为IPv4,即0100。
●报头长度(Internet Header Length,IHL)
:占4比特。是头部占32比特的数字,包括可选项。普通IP数据报(没有任何选项),该字段的值是5,即160比特=20字节。此字段最大值为60字节。
●服务类型(Type of Service ,TOS)
:占8比特。其中前3比特为优先权子字段(Precedence,现已被忽略)。第8比特保留未用。第4至第7比特分别代表延迟、吞吐量、可靠性和花费。当它们取值为1时分别代表要求最小时延、最大吞吐量、最高可靠性和最小费用。这4比特的服务类型中只能置其中1比特为1。可以全为0,若全为0则表示一般服务。服务类型字段声明了数据报被网络系统传输时可以被怎样处理。例如:TELNET协议
可能要求有最小的延迟,FTP协议
(数据)可能要求有最大吞吐量,SNMP协议
可能要求有最高可靠性,NNTP(Network News Transfer Protocol,网络新闻传输协议)
可能要求最小费用,而ICMP协议
可能无特殊要求(4比特全为0)。实际上,大部分主机会忽略这个字段,但一些动态路由协议如OSPF(Open Shortest Path First Protocol)
、IS-IS(Intermediate System to Intermediate System Protocol)
可以根据这些字段的值进行路由决策。
● 总长度
:占16比特。指明整个数据报的长度(以字节为单位)。最大长度为65535字节。
● 标识
:占16比特。用来唯一地标识主机发送的每一份数据报。通常每发一份报文,它的值会加1。
● 标志位
:占3比特。标志一份数据报是否要求分段。
● 段偏移量
:占13比特。如果一份数据报要求分段的话,此字段指明该段偏移距原始数据报开始的位置。
● 生存期(TTL:Time to Live)
:占8比特。用来设置数据报最多可以经过的路由器数。由发送数据的源主机设置,通常为32、64、128等。每经过一个路由器,其值减1,直到0时该数据报被丢弃。
● 协议
:占8比特。指明IP层所封装的上层协议类型,如ICMP(1)
、IGMP(2)
、TCP(6)
、UDP(17)
等。
● 头部校验和
:占16比特。内容是根据IP头部计算得到的校验和码。计算方法是:对头部中每个16比特进行二进制反码求和。(和ICMP、IGMP、TCP、UDP不同,IP不对头部后的数据进行校验
)。
● 源IP地址
、目标IP地址字段
:各占32比特。用来标明发送IP数据报文的源主机地址和接收IP报文的目标主机地址。
● 可选项
:占32比特。用来定义一些任选项:如记录路径、时间戳等。这些选项很少被使用,同时并不是所有主机和路由器都支持这些选项。可选项字段的长度必须是32比特的整数倍,如果不足,必须填充0以达到此长度要求。
三. TCP头结构定义
TCP
是一种可靠的、面向连接的字节流服务。源主机在传送数据前需要先和目标主机建立连接。然后,在此连接上,被编号的数据段按序收发。同时,要求对每个数据段进行确认,保证了可靠性。如果在指定的时间内没有收到目标主机对所发数据段的确认,源主机将再次发送该数据段。
/*TCP头定义,共20个字节*/
typedef struct _TCP_HEADER
{
short m_sSourPort; // 源端口号16bit
short m_sDestPort; // 目的端口号16bit
unsigned int m_uiSequNum; // 序列号32bit
unsigned int m_uiAcknowledgeNum; // 确认号32bit
short m_sHeaderLenAndFlag; // 前4位:TCP头长度;中6位:保留;后6位:标志位
short m_sWindowSize; // 窗口大小16bit
short m_sCheckSum; // 检验和16bit
short m_surgentPointer; // 紧急数据偏移量16bit
} __attribute__((packed))TCP_HEADER, *PTCP_HEADER;
/*TCP头中的选项定义
kind(8bit)+Length(8bit,整个选项的长度,包含前两部分)+内容(如果有的话)
KIND = 1表示 无操作NOP,无后面的部分
2表示 maximum segment 后面的LENGTH就是maximum segment选项的长度(以byte为单位,1+1+内容部分长度)
3表示 windows scale 后面的LENGTH就是 windows scale选项的长度(以byte为单位,1+1+内容部分长度)
4表示 SACK permitted LENGTH为2,没有内容部分
5表示这是一个SACK包 LENGTH为2,没有内容部分
8表示时间戳,LENGTH为10,含8个字节的时间戳
*/
typedef struct _TCP_OPTIONS
{
char m_ckind;
char m_cLength;
char m_cContext[32];
} __attribute__((packed))TCP_OPTIONS, *PTCP_OPTIONS;
其中:
● 源、目标端口号
:占16比特。TCP协议通过使用"端口"来标识源端和目标端的应用进程。端口号可以使用0~65535
之间的任何数字。在收到服务请求时,操作系统动态地为客户端的应用程序分配端口号。在服务器端,每种服务在"众所周知的端口"(Well-Know Port)
为用户提供服务。
● 顺序号
:占32比特。用来标识从TCP源端向TCP目标端发送的数据字节流,它表示在这个报文段中的第一个数据字节。
● 确认号
:占32比特。只有ACK标志为1时,确认号字段才有效。它包含目标端所期望收到源端的下一个数据字节。
● 头部长度
:占4比特。给出头部占32比特的数目。没有任何选项字段的TCP头部长度为20字节;最多可以有60字节的TCP头部。
● 保留
:占 6 位,保留为今后使用,但目前应置为 0
● 标志位字段(U、A、P、R、S、F)
:占6比特。各比特的含义如下:
◆ URG
:紧急指针(urgent pointer),当 URG=1 时表明紧急指针字段有效,它告诉系统此报文段中有紧急数据,应尽快传送(相当于高优先级的数据)
◆ ACK
:确认序号,只有当 ACK=1 时确认号字段才有效,当 ACK=0 时,确认号无效。
◆ PSH
:接收方应该尽快将这个报文段交给应用层,而不再等到整个缓存都填满了后再向上交付。
◆ RST
:当 RST=1 时,表明 TCP 连接中出现严重差错(如由于主机崩溃或其他原因),必须释放连接,然后再重新建立运输连接。
◆ SYN
:同步,SYN=1
表示这是一个连接请求或连接接受报文。
◆ FIN
:用来释放一个连接,FIN=1
表明此报文段的发送端的数据已发送完毕,并要求释放运输连接。
● 窗口大小
:占16比特。此字段用来进行流量控制。单位为字节数,这个值是本机期望一次接收的字节数。
● TCP校验和
:占16比特。对整个TCP报文段,即TCP头部和TCP数据进行校验和计算,并由目标端进行验证。在计算检验和时,要在 TCP 报文段的前面加上 12 字节的伪首部。
● 紧急指针
:占 16 位,指出在本报文段中紧急数据共有多少个字节(紧急数据放在本报文段数据的最前面)。
● 可选项
:占32比特。可能包括"窗口扩大因子"、"时间戳"等选项。
四. UDP头结构的定义
UDP
是一种不可靠的、无连接的数据报服务。源主机在传送数据前不需要和目标主机建立连接。数据被冠以源、目标端口号等UDP报头字段后直接发往目的主机。这时,每个数据段的可靠性依靠上层协议来保证。在传送数据较少、较小的情况下,UDP比TCP更加高效
。
/*UDP头定义,共8个字节*/
typedef struct _UDP_HEADER
{
unsigned short m_usSourPort; // 源端口号16bit
unsigned short m_usDestPort; // 目的端口号16bit
unsigned short m_usLength; // 数据包长度16bit
unsigned short m_usCheckSum; // 校验和16bit
} __attribute__((packed))UDP_HEADER, *PUDP_HEADER;
其中:
● 源、目标端口号
:占16比特。作用与TCP数据段中的端口号字段相同,用来标识源端和目标端的应用进程。
● 长度
:占16比特。标明UDP头部和UDP数据的总长度字节。
● 校验和
:占16比特。用来对UDP头部和UDP数据进行校验。和TCP不同的是,对UDP来说,此字段是可选项,而TCP数据段中的校验和字段是必须有的。
五. 套接字
在每个TCP、UDP数据段中都包含源端口和目标端口字段。有时,我们把一个IP地址和一个端口号合称为一个套接字(Socket)
,而一个套接字对(Socket pair)可以唯一地确定互连网络中每个TCP连接的双方(客户IP地址、客户端口号、服务器IP地址、服务器端口号)
。
如图所示,是常见的一些协议和它们对应的服务端口号。
需要注意的是,不同的应用层协议可能基于不同的传输层协议
,如FTP
、TELNET
、SMTP
协议基于可靠的TCP协议
,TFTP
、SNMP
、RIP
基于不可靠的UDP协议
。
同时,有些应用层协议占用了两个不同的端口号
,如FTP的20、21端口
,SNMP的161、162端口
。这些应用层协议在不同的端口提供不同的功能。如FTP的21端口用来侦听用户的连接请求,而20端口用来传送用户的文件数据。再如,SNMP的161端口用于SNMP管理进程获取SNMP代理的数据,而162端口用于SNMP代理主动向SNMP管理进程发送数据。
还有一些协议使用了传输层的不同协议提供的服务
。如DNS协议同时使用了TCP 53端口和UDP 53端口
。DNS协议在UDP的53端口提供域名解析服务,在TCP的53端口提供DNS区域文件传输服务。
六. TCP连接建立、释放时的握手过程
1、TCP建立连接的三次握手过程
TCP会话
通过三次握手来初始化。三次握手的目标是使数据段的发送和接收同步。同时也向其他主机表明其一次可接收的数据量(窗口大小),并建立逻辑连接。这三次握手的过程可以简述如下:
● 源主机发送一个同步标志位(SYN)置1
的TCP数据段。此段中同时标明初始序号(Initial Sequence Number,ISN)。ISN是一个随时间变化的随机值。
● 目标主机发回确认数据段,此段中的同步标志位(SYN)同样被置1
,且确认标志位(ACK)也置1
,同时在确认序号字段表明目标主机期待收到源主机下一个数据段的序号(即表明前一个数据段已收到并且没有错误)。此外,此段中还包含目标主机的段初始序号。
● 源主机再回送一个数据段,同样带有递增的发送序号和确认序号。
至此为止,TCP会话的三次握手完成。接下来,源主机和目标主机可以互相收发数据。整个过程可用图表示。
2、TCP释放连接的四次握手过程
TCP连接的释放需要进行四次握手,步骤是:
- 客户端进程发出连接释放报文,并且停止发送数据。释放数据报文首部,FIN=1,其序列号为seq=u(等于前面已经传送过来的数据的最后一个字节的序号加1),此时,客户端进入FIN-WAIT-1(终止等待1)状态。 TCP规定,FIN报文段即使不携带数据,也要消耗一个序号。
- 服务器收到连接释放报文,发出确认报文,ACK=1,ack=u+1,并且带上自己的序列号seq=v,此时,服务端就进入了CLOSE-WAIT(关闭等待)状态。TCP服务器通知高层的应用进程,客户端向服务器的方向就释放了,这时候处于半关闭状态,即客户端已经没有数据要发送了,但是服务器若发送数据,客户端依然要接受。这个状态还要持续一段时间,也就是整个CLOSE-WAIT状态持续的时间。
- 客户端收到服务器的确认请求后,此时,客户端就进入FIN-WAIT-2(终止等待2)状态,等待服务器发送连接释放报文(在这之前还需要接受服务器发送的最后的数据)。
- 服务器将最后的数据发送完毕后,就向客户端发送连接释放报文,FIN=1,ack=u+1,由于在半关闭状态,服务器很可能又发送了一些数据,假定此时的序列号为seq=w,此时,服务器就进入了LAST-ACK(最后确认)状态,等待客户端的确认。
- 客户端收到服务器的连接释放报文后,必须发出确认,ACK=1,ack=w+1,而自己的序列号是seq=u+1,此时,客户端就进入了TIME-WAIT(时间等待)状态。注意此时TCP连接还没有释放,必须经过2∗MSL(最长报文段寿命)的时间后,当客户端撤销相应的TCB后,才进入CLOSED状态。
- 服务器只要收到了客户端发出的确认,立即进入CLOSED状态。同样,撤销TCB后,就结束了这次的TCP连接。可以看到,服务器结束TCP连接的时间要比客户端早一些。
参考
TCP协议