TCP建立连接过程的分析与仿真
姓名:王开龙学号:1005010102专业班级:计算1001
实验项目:
TCP建立连接过程的分析与仿真
姓名:王开龙学号:1005010102专业班级:计算1001
wireshark抓取TCP连接及断开实验
实验目的: 1)掌握TCP连接建立的三次握手过程 2)理解TCP连接释放的四次握手过程 实验原理: TCP协议工作原理参考TCP.PPT Tcp显示过滤规则: tcp.flags 显示包含TCP标志的封包。 tcp.flags.syn == 1显示包含TCP SYN标志的封包。 tcp.flags.syn == 1and tcp.flags.ack == 0 显示包含TCP SYN并且不包含ACK标志的封包。 tcp.flags.fin == 1and tcp.flags.ack == 1 显示包含TCP FIN和ACK标志的封包。tcp.window_size == 0 && tcp.flags.reset != 1 主要设备、器材 1)已联网且运行Windows操作系统的计算机 2)协议分析软件Wireshark 实验步骤: 1)启动WireShark抓包 2)访问学校主页服务器,通过Wireshark捕获通信内容 3)分析TCP连接建立的三次握手和连接释放的四次握手过程 浏览网页,抓取三次握手的包,根据TCP包头格式将各字段取值填下来。
源IP: 目的IP: 源端口: 目的端口: 第一次握手: 找出第一次握手的数据包并截取对该数据包的展开图,根据截图填写横线内容。 替换上图 序号: 确认号: 数据偏移: URG: ACK: PSH: RST: SYN: FIN: 窗口: 若只抓取第一次握手的数据包,则显示过滤器的规则为 并截图替换下图:
第二次握手: 找出第二次握手的数据包并截取对该数据包的展开图,根据截图填写横线内容。 替换上图 序号: 确认号: 数据偏移: URG: ACK: PSH: RST: SYN: FIN: 窗口: 若只抓取第二次握手的数据包,则显示过滤器的规则为 并截图替换下图:(提示需要syn字段为1而ack 字段为1)
tcp通信过程
TCP协议通讯工作原理 一、TCP三次握手 传输控制协议(Transport Control Protocol)是一种面向连接的,可靠的传输层协议。面向连接是指一次正常的TCP传输需要通过在TCP客户端和TCP服务端建立特定的虚电路连接来完成,该过程通常被称为“三次握手”。可靠性可以通过很多种方法来提供保证,在这里我们关心的是数据序列和确认。TCP通过数据分段(Segment)中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组,而且通过确认保证数据传输的完整性。要通过TCP 传输数据,必须在两端主机之间建立连接。举例说明,TCP客户端需要和TCP服务端建立连接,过程如下所示: TCP Client Flags TCP Server 1 Send SYN (seq=w) ----SYN---> SYN Received 2 SYN/ACK Received <---SYN/ACK---- Send SYN (seq=x),ACK (w+1) 3 Send ACK (x+1) ----ACK---> ACK Received,Connection Established w: ISN (Initial Sequence Number) of the Client x: ISN of the Server 在第一步中,客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法,需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后,在第二步以自己的ISN回应(SYN标志置位),同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中,客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接,开始全双工模式的数据传输过程。 二、TCP标志 这里有必要介绍一下TCP分段中的标志(Flag)置位情况。如下图所示:
wireshark抓取TCP连接及断开实验补充
计算机网络实验报告 年级:信科102 姓名:钱丽美学号: 实验日期:2012.10.23 实验名称:利用wireshark抓取TCP连接及断开实验 一、实验目的: 1)掌握TCP连接建立的三次握手过程 2)理解TCP连接释放的四次握手过程 二、实验原理: TCP协议工作原理参考TCP协议 Tcp显示过滤规则: tcp.flags 显示包含TCP标志的封包。 tcp.flags.syn == 1显示包含TCP SYN标志的封包。 tcp.flags.syn == 1and tcp.flags.ack == 0 显示包含TCP SYN并且不包含ACK标志的封包。 tcp.flags.fin == 1and tcp.flags.ack == 1 显示包含TCP FIN和ACK标志的封包。tcp.window_size == 0 && tcp.flags.reset != 1 三、主要设备、器材 1)已联网且运行Windows操作系统的计算机 2)协议分析软件Wireshark 四、要求 1、结果分析与保存的数据一致,否则没有实验成绩 2、数据保存名称: tcp数据: w09101-tcp.pcap(网络091班01号arp协议) 实验结果分析报告名称:实验六利用Wireshark分析tcp协议_w09101.doc 五、实验步骤: 1)启动WireShark抓包
2)访问学校主页服务器,通过Wireshark捕获通信内容 3)分析TCP连接建立的三次握手和连接释放的四次握手过程 浏览网页,抓取三次握手的包,根据TCP包头格式将各字段取值填下来。 源IP:10.30.28.57 目的IP:220.181.127.63 源端口:sdt-lmd(3319) 目的端口:http(80) 第一次握手: 找出第一次握手的数据包并截取对该数据包的展开图,根据截图填写横线内容。 替换上图
tcp的连接及释放过程分析
实验五TCP 的连接及释放过程分析 【实验目的】 1. 掌握TCP 连接建立的三次握手工作原理; 2. 理解TCP 连接释放的四次握手工作原理。 【实验环境】 与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE 等软件。 【实验内容】 1. 使用Wireshark 抓包软件分析TCP 协议报文的类型; 2. 分析TCP 连接建立的工作过程; 3. 分析TCP 数据传输的工作过程; 4. 分析TCP 连接释放的工作过程。 【实验步骤】 1. 启动WireShark 抓包软件; 2. 使用ping 命令,ping 你想浏览的网站,记下该网站的ip 地址。 https://www.360docs.net/doc/9212170150.html,119.75.218.77 3. 使用浏览器访问一个因特网网站(例如,https://www.360docs.net/doc/9212170150.html,),通过Wireshark 捕获通信内容; 4. 分析与你浏览的网站相对应的TCP 连接建立的三次握手和连接释放的握手过程( 在wireshark 里通过ip 地址过滤找到对应的TCP 数据包)。具体分析步骤如下: l 览网页,抓取三次握手的包,分析TCP 包头格式,指出下列4 个字段的值。 l 源IP:192.168.6.8 l 目的IP: 119.75.218.77 l 源端口:1849 l 目的端口:80 连接建立第一次握手: 若只显示第一次握手的数据包,即显示包含TCP SYN 且不包含ACK 标志的数据包, 则显示过滤器的规则应该怎样设置?找出第一次握手的数据包并截取对该数据包的展 开图来替换下图。根据截图在表1 的相应位置填写各字段的值。 表1
窗口65535 65535 65535 40200 40200 5840 65134 为了显示第一次握手的包,过滤器的设为“tcp.flags.ack==0&&tcp.flags.syn==1”,如上图所示。连接建立第二次握手: 若只抓取第二次握手的数据包,则显示过滤器的规则应该怎样设置?为什么?找出第二次握手的数据包并截取对该数据包的展开图来替换下图,根据截图在表1 的相应位置填写各 字段的值。 为了显示第二次握手的包,过滤器的设为“tcp.flags.ack==1&&tcp.flags.syn==1”,如上图所示。连接建立第三次握手: 是否可以设定过滤规则只抓取第三次握手的数据包? 若不能,如何确定是第三次 握手的数据包。找出第三次握手的数据包并截取对该数据包的展开图来替换下图,根据 截图在表1 的相应位置填写各字段的值。 不能,因为第三次握手发送的是ack包,也就是仅ACK标记设为1的TCP包,但三次握手建立后,TCP连接的每个包都会设置ACK位,所以不能。第三次握手的TCP包序列号是1。如下图
tcp长连接和短连接
TCP/IP通信程序设计的丰富多样性 (转) 刚接触TCP/IP通信设计的人根据范例可以很快编出一个通信程 序,据此一些人可能会认为TCP/IP编程很简单。其实不然, TCP/IP编程具有较为丰富的内容。其编程的丰富性主要体现在 通信方式和报文格式的多样性上。 一。通信方式 主要有以下三大类: (一)SERVER/CLIENT方式 1.一个Client方连接一个Server方,或称点对点(peer to peer): 2.多个Client方连接一个Server方,这也是通常的并发服务器方式。 3.一个Client方连接多个Server方,这种方式很少见,主要 用于一个客户向多个服务器发送请求情况。 (二)连接方式 1.长连接 Client方与Server方先建立通讯连接,连接建立后不断开, 然后再进行报文发送和接收。这种方式下由于通讯连接一直 存在,可以用下面命令查看连接是否建立: netstat –f inet|grep 端口号(如5678)。 此种方式常用于点对点通讯。 2.短连接 Client方与Server每进行一次报文收发交易时才进行通讯连 接,交易完毕后立即断开连接。此种方式常用于一点对多点 通讯,比如多个Client连接一个Server. (三)发送接收方式 1.异步 报文发送和接收是分开的,相互独立的,互不影响。这种方 式又分两种情况: (1)异步双工:接收和发送在同一个程序中,有两个不同的
子进程分别负责发送和接收 (2)异步单工:接收和发送是用两个不同的程序来完成。 2.同步 报文发送和接收是同步进行,既报文发送后等待接收返回报文。 同步方式一般需要考虑超时问题,即报文发上去后不能无限等 待,需要设定超时时间,超过该时间发送方不再等待读返回报 文,直接通知超时返回。 实际通信方式是这三类通信方式的组合。比如一般书上提供的 TCP/IP范例程序大都是同步短连接的SERVER/CLIENT程序。有的 组合是基本不用的,比较常用的有价值的组合是以下几种: 同步短连接Server/Client 同步长连接Server/Client 异步短连接Server/Client 异步长连接双工Server/Client 异步长连接单工Server/Client 其中异步长连接双工是最为复杂的一种通信方式,有时候经 常会出现在不同银行或不同城市之间的两套系统之间的通信。 比如金卡工程。由于这几种通信方式比较固定,所以可以预 先编制这几种通信方式的模板程序。 二.报文格式 通信报文格式多样性更多,相应地就必须设计对应的读写报文的接 收和发送报文函数。 (一)阻塞与非阻塞方式 1.非阻塞方式 读函数不停地进行读动作,如果没有报文接收到,等待一段时间后 超时返回,这种情况一般需要指定超时时间。 2.阻塞方式 如果没有报文接收到,则读函数一直处于等待状态,直到有报文到达。 (二)循环读写方式
利用MBLB解决TCP长连接负载均衡测试方案
F5 BIGIP MBLB 测试记录 F5北京杨明非 2009年8月
目录 1. 测试环境 (3) 1.1 测试环境准备 (3) 1.2 测试网络拓扑 (3) 1.3 BIGIP MBLB工作原理: (4) 2. V10 MBLB 测试过程 (5) 2.1 TCP连接测试 (5) 2.2 交易分发测试 (6) 2.3 启动第二个客户端的连接建立过程及Timeout (8) 2.4 加入新的客户端观察负载均衡算法 (10) 2.5 手工Disable服务器测试 (12) 2.6 关闭服务器测试 (13) 2.7 V10 MBLB 测试总结 (14) 2.8 附:TCPdump数据包分析 (14) 3. One Connect工作模式测试 (16) 3.1 One Connect模式的工作原理 (17) 3.2 TCP连接测试 (17) 3.3 交易分发测试 (19) 3.4 启动第二个客户端的连接 (20) 3.5 启动多个客户端观察负载均衡算法 (22) 3.6 手工Disable 服务器测试 (25) 3.7 重新Enable服务器 (26) 3.8 关闭服务器测试 (29) 3.9 One Connect模式测试总结: (30) 4. 附录 (30) 4.1 如何使用iRules来判断交易边界 (30) 4.2 关于交易定向发送 (32) 4.3 关于会话保持 (32) 4.4 两种模式的对比 (33) 4.5 还需要研究的部分 (34)
1.测试环境 1.1测试环境准备 PC server一台,安装Windows 2003 Server. BIGIP 1台,安装10.0.1版本 TCP Client/Server软件 1.2测试网络拓扑 所有的IP地址均在同一个网段内,TCP client 和Server也运行在同一台设备上。通过启动多个不同的实例来模拟多台Server和Client。 测试用BIGIP 配置
TCP连接成功的几种状态
TCP:连接成功的几种状态 一、服务端,端口的状态变化 先在本机(IP地址为:192.168.1.10)配置FTP服务,然后在其它计算机(IP地址为:192.168.1.1)访问FTP服务,从TCPView看看端口的状态变化。下面黑体字显示的是从TCPView中截取的部分。 1、LISTENING状态 FTP服务启动后首先处于侦听(LISTENING)状态。State显示是LISTENING时表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。就像你房子的门已经敞开的,但还没有人进来。 从TCPView可以看出本机开放FTP的情况。它的意思是:程序inetinfo.exe 开放了21端口,FTP默认的端口为21,可见在本机开放了FTP服务。目前正处于侦听状态。 inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 2、ESTABLISHED状态 现在从192.168.1.1这台计算机访问一下192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为ESTABLISHED。ESTABLISHED的意思是建立连接。表示两台机器正在通信。 下面显示的是本机的FTP服务正在被192.168.1.1这台计算机访问。inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED 注意:处于ESTABLISHED状态的连接一定要格外注意,因为它也许不是个正常连接。后面我们要讲到这个问题。
3、TIME_WAIT状态 现在从192.168.1.1这台计算机结束访问192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为TIME_WAIT。 TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问,但访问结束了。 [System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT 4、小技巧 ●可以telnet一个开放的端口,来观察该端口的变化。比如看1025端口是开 放的,在命令状态(如图1运行cmd)运行: telnet 192.168.1.10 1025 ●从本机也可以测试,只不过显示的是本机连本机 ●在Tcpview中双击连接可看出程序的位置,右键点击该连接,选择End Process即可结束该连接 二、客户端,端口的状态变化 客户端口实际上就是从本机访问其它计算机服务时打开的源端口,最多的应用是上网,下面就以访问https://www.360docs.net/doc/9212170150.html,为例来看看端口开放以及状态的变化情况。 1、SYN_SENT状态 SYN_SENT状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号给该端口,此时状态为SYN_SENT,如果连接成功了就变为ESTABLISHED,此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非
TCP连接有效性检测方法
TCP连接有效性检测方法 在写TCP服务的时候经常需要面对的问题就是如何知道一个TCP连接当前是否有效,但这个问题对很多初入门的同学来说是很困惑的,主要原因是当对方关闭连接后,另一方无法有效的知道;对于同步操作来说可以通过设置操作超时来解决,但异步操作则没有这样方便的了,那只能等keepalive的检测完成引发异步回调了。 那在编写应用的时候一般通讯什么方式来检测连接的有效性呢?解决方法一般有两种一种是设置TCP的keepalive时间,另一种则是通过Ping,Pong的方式来实现。前者相对比较简单通过socket.IOControl(IOControlCode.KeepAliveValues, inOptionValues, null)方法设置即可,以下主要但要通过Ping,Pong的方式来实现应用层面的TCP连接有效性检测。通过Ping,Pong来处理有两种方式:服务器主动和被动。 主动 这种方式主要是由服务器发起,然后由客户端响应;服务检测每个连接Pong响应情况,如果连接在一段时间内没有Pong回应则把相应连接关闭并处理相关会话资源。 被动 这种方式由Client发起Ping然后由服务端回应Pong,如果Client是同步操作的话其实服务端是不需要应答Pong包。服务端检测每个连接最近的Ping时间,如果超过一段时间没有Ping的情况把相应连接关闭并处理相关会话资源。
模式选择 从上面的两种方式来看显然是被动模式更节省服务器资源,如果采用主动的话服务器还必须启用一个定时器对现有在线接进行发送Ping操作;被动模式就完全不需要了,只有接收到客户端Ping回应一个Pong操作。 检测算法 一般情况会用一个定时器隔一段时间对所有Client检测一次,看对应的Ping时间是否超时,如果是则直接关闭和释放资源。但这样是要对所有连接进行扫描,其实在应用中只有很小部分连接是无效的,如果针对所有在线连接进行一个扫描那的确一个比较花成本的工作。为了解决全扫描的情况,可以采用一种简单的算法LRU,通过LRU算法在检测的时候只要扫冷区数据即可,这样就可以达到只扫描Ping超时的连接。LRU具体处理结构如下:
TCP建立连接过程
TCP((Transmission Control Protocol)传输控制协议,是一个面向连接的协议。在运用此协议进行数据传输前都会进行连接的建立工作(三次握手);当数据传输完毕,连接的双方都会通知对方要释放此连接(四次挥手)。 ?认识TCP标志位 tcp标志位有6种标示: SYN(synchronous建立联接) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急) ?图解TCP与UDP的三次握手与四次挥手过程
三次握手过程: 第一次握手:host1发送一个TCP标志位SYN=1、ACK=0的数据包给host2,并随机产生一个Sequence number=3233.当host2接收到这个数据后,host2由SYN=1可知客户端是想要建立连接; 第二次握手:host2要对客户端的联机请求进行确认,向host1发送应答号ACK=1、SYN=1、确认号Acknowledge number=3234,此值是host1的序列号加1,还会产生一个随机的序列号Sequence number=36457,这样就告诉host1可以进行连接;第三次握手:host1收到数据后检查Acknowledge number是否是3233+1的值,以及ACK的值是否为1,若为1,host1会发送ACK=1、确认号码Acknowledge number=36457,告诉host2,你的请求连接被确认,连接可以建立。 四次挥手过程: 第一次挥手:当传输的数据到达尾部时,host1向host2发送FIN=1标志位;可理解成,host1向host2说,我这边的数据传送完成了,我准备断开连接了; 第二次挥手:因TCP的连接是全双工的双向连接,关闭也是要从两边关闭;当host2收到host1发来的FIN=1的标志位后,host2不会立刻向host1发送FIN=1的请求关闭信息,而是先向host1发送一个ACK=1的应答信息,表示:你请求关闭的请求我已经收到,但我可能还有数据没有完成传送,你再等下,等我数据传输完成了我就告诉你; 第三次挥手:host2数据传输完成,向host1发送FIN=1,host1收到关闭连接的请求后,host1就明白host2的数据已传输完成,现在可以断开连接了; 第四次挥手:host1收到FIN=1后,host1还是怕由于网络不稳定的原因,怕host2不知道他要断开连接,于是向host2发送ACK=1确认信息进行确认,把自己设置成TIME_WAIT状态并启动定时器,如果host2没有收到ACK,host2端TCP的定时器到达后,会要求host1重新发送ACK,当host2收到ACK后,host2就断开连接;当host1等待2MLS(2倍报文最大生存时间)后,没有收到host2的重传请求后,他就知道host2已收到了ACK,所以host1此时才关闭自己的连接。 整个过程host1端所经历的状态如下:
wireshark抓取TCP连接及断开实验
计算机网络实验报告 年级:姓名:学号: 实验日期: 实验名称:利用wireshark抓取TCP连接及断开实验 一、实验目的: 1)掌握TCP连接建立的三次握手过程 2)理解TCP连接释放的四次握手过程 二、实验原理: TCP协议工作原理参考TCP协议 Tcp显示过滤规则: tcp.flags 显示包含TCP标志的封包。 tcp.flags.syn == 1显示包含TCP SYN标志的封包。 tcp.flags.syn == 1and tcp.flags.ack == 0 显示包含TCP SYN并且不包含ACK标志的封包。 tcp.flags.fin == 1and tcp.flags.ack == 1 显示包含TCP FIN和ACK标志的封包。tcp.window_size == 0 && tcp.flags.reset != 1 三、主要设备、器材 1)已联网且运行Windows操作系统的计算机 2)协议分析软件Wireshark 四、要求 1、结果分析与保存的数据一致,否则没有实验成绩 2、数据保存名称: tcp数据: w09101-tcp.pcap(网络091班01号arp协议) 实验结果分析报告名称:实验六利用Wireshark分析tcp协议_w09101.doc 五、实验步骤: 1)启动WireShark抓包
2)访问学校主页服务器,通过Wireshark捕获通信内容 3)分析TCP连接建立的三次握手和连接释放的四次握手过程 浏览网页,抓取三次握手的包,根据TCP包头格式将各字段取值填下来。 源IP: 目的IP: 源端口: 目的端口: 第一次握手: 找出第一次握手的数据包并截取对该数据包的展开图,根据截图填写横线内容。 替换上图 序号: 确认号: 数据偏移: URG: ACK: PSH: RST:
TCP连接及断开实验
实验名称:利用wireshark抓取TCP连接及断开实验 一、实验目的: 1)掌握TCP连接建立的三次握手过程 2)理解TCP连接释放的四次握手过程 二、实验原理: TCP协议工作原理参考TCP协议 Tcp显示过滤规则: tcp.flags 显示包含TCP标志的封包。 tcp.flags.syn == 1显示包含TCP SYN标志的封包。 tcp.flags.syn == 1and tcp.flags.ack == 0 显示包含TCP SYN并且不包含ACK标志的封包。 tcp.flags.fin == 1and tcp.flags.ack == 1 显示包含TCP FIN和ACK标志的封包。tcp.window_size == 0 && tcp.flags.reset != 1 三、主要设备、器材 1)已联网且运行Windows操作系统的计算机 2)协议分析软件Wireshark 四、实验步骤: 1)启动WireShark抓包 2)访问学校主页服务器,通过Wireshark捕获通信内容 3)分析TCP连接建立的三次握手和连接释放的四次握手过程 浏览网页,抓取三次握手的包,根据TCP包头格式将各字段取值填下来。
源IP:192.168.2.102 目的IP:104.193.88.123 源端口:51048 目的端口:443 第一次握手: 找出第一次握手的数据包并截取对该数据包的展开图,根据截图填写横线内容。 序号:0 确认号:0 数据偏移:32 URG:0 ACK:0 PSH:0 RST:0 SYN: 1 FIN:0 窗口:65535 若只抓取第一次握手的数据包,则显示过滤器的规则为tcp.flags.syn == 1显示包含TCP SYN标志的封包。tcp.flags.syn == 1and tcp.flags.ack == 0 显示包含TCP SYN并且不包含ACK标志的封包并截图替换下图:
TCP连接状态
Linux服务器上11种网络连接状态和 TCP三次握手/四次挥手详解 一、Linux服务器上11种网络连接状态: 图:TCP的状态机 通常情况下:一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP 四次挥手 注:以下说明最好能结合"图:TCP的状态机"来理解。 SYN: (同步序列编号,Synchronize Sequence Numbers)该标志仅在三次握手建立TCP连接时有效。表示一个新的TCP连接请求。 ACK: (确认编号,Acknowledgement Number)是对TCP请求的确认标志,同时提示对端系统已经成功接收所有数据。 FIN: (结束标志,FINish)用来结束一个TCP回话.但对应端口仍处于开放状态,准备接收后续数据。 1)、LISTEN:首先服务端需要打开一个socket进行监听,状态为LISTEN. /* The socket is listening for incoming connections. 侦听来自远方TCP端口的连接请求 */ 2)、SYN_SENT:客户端通过应用程序调用connect进行active open.于是客户端tcp发送一个SYN以请求建立一个连接.之后状态置为SYN_SENT. /*The socket is actively attempting to establish a connection. 在发送连接请求后等待匹配的连接请求 */ 3)、SYN_RECV:服务端应发出ACK确认客户端的SYN,同时自己向客户端发送一个SYN. 之后状态置为SYN_RECV /* A connection request has been received from the network. 在收到和发送一个连接请求后等待对连接请求的确认 */ 4)、ESTABLISHED: 代表一个打开的连接,双方可以进行或已经在数据交互了。/* The socket has an established connection. 代表一个打开的连接,数据可以传送给用户 */ 5)、FIN_WAIT1:主动关闭(active close)端应用程序调用close,于是其TCP发出FIN请求主动关闭连接,之后进入FIN_WAIT1状态./* The socket is closed, and the connection is shutting down. 等待远程TCP的连接中断请求,或先前的连接中断请求的确认 */ 6)、CLOSE_WAIT:被动关闭(passive close)端TCP接到FIN后,就发出ACK以回应FIN请求(它的接收也作为文件结束符传递给上层应用程序),并进入CLOSE_WAIT. /* The remote end has shut down, waiting for the socket to close. 等待从本地用户发来的连接中断请求*/ 7)、FIN_WAIT2:主动关闭端接到ACK后,就进入了FIN-WAIT-2 ./* Connection is closed, and the socket is waiting for a shutdown from the remote end. 从远程TCP等待连接中断请求 */ 8)、LAST_ACK:被动关闭端一段时间后,接收到文件结束符的应用程序将调用CLOSE关闭连接。这导致它的TCP也发送一个 FIN,等待对方的ACK.就进入了LAST-ACK . /* The remote end has shut down, and the socket is closed. Waiting for acknowledgement. 等待原来发向远程TCP的连接中断请求的确认 */ 9)、TIME_WAIT:在主动关闭端接收到FIN后,TCP就发送ACK包,并进入TIME-WAIT状态。/* The socket is waiting after close to handle packets still in the network.等待足够的时间以确保远程TCP接收到连接中断请求的确认 */ 10)、CLOSING: 比较少见./* Both sockets are shut down but we still don't have all our data sent. 等待远程TCP对连接中断的确认 */
3TCP连接中的异常断开情况处理
1.TCP连接中可能出现的异常断开情况 假设存在这样一种情况:在两个不同的主机Machine1、Machine2系统上分别运行两个应用程序Application1、Application2,在Application1与 Application2的进程中存在一个TCP链接TCPLink。它们的实际传输取决于物理链路的沟通PhysiLink。 图一:TCP通信情况模拟图 1.1程序/进程异常 如果TCPLink异常而Application1正常,TCPLink会被关掉并且告诉Application2,Application2也就关闭了该异常的TCPLink。这种情况会在TCPLink异常后的一次Socket调用中通过返回值(C/C++)或者异常代码(C#)得知。因此在做程序开发的时候比较容易处理。 1.2物理链路异常 如果出现Machine1或者Machine2任何一个系统死机:假设Machine1系统异常,此时Machine2无法知道此TCP连接的失效,并一直认为连接正常。如果网络硬件故障(如网线拔掉、交换机断电):Machine1与Machine2都无法知道此TCP连接的失效,并一直认为连接正常。 以上这两种情况在编程时会变的非常糟糕,因为TCP连接将一直被认为有效,所有对此TCP Socket的调用都会正确返回,这显然是错误的。并且这种错误情况通常会持续很久。 2.异常断开情况影响分析 对于程序/进程异常,由于Socket调用中可以得到返回值。因此在做程序开发的时候比较容易处理。 对于物理链路异常,如果Machine1系统异常,如果Application2是FTP之类的服务器程序倒也无妨(一个连接存在时间比较长对它没有多大影响),如果是需要实时知道连接用户状态的即时通讯类服务器或者Application2是客户端则就会产生一系列的问题了。如果Machine1与Machine2都异常,Application1和Application2都会一直等下去,两端需要进行相似的处理。 3.异常断开情况的判断与处理 对于这种情况在MSDN里面是这样处理的,原文如下: 如果您需要确定连接的当前状态,请进行非阻止、零字节的Send调用。如果该调用成功返回或引发WAEWOULDBLOCK错误代码(10035),则该套接字仍然处于连接状态;否则,该套接字不再处于连接状态。 但是,在试验中发现,这种处理方法在很多时候根本无效,尤其对发生在物理链路层上的问题,很多情况下无法检测出网络已经异常断开了。
TCP三次握手
TCP建立连接的三次握手过程,以及关闭连接的四次握手过程 展示一个telnet建立连接和断开连接的过程,使用wireshark捕获的packet解码界面 1、建立连接协议(三次握手) (1)客户端发送一个带SYN标志的TCP报文到服务器。这是三次握手过程中的报文1。(2)服务器端回应客户端的,这是三次握手中的第2个报文,这个报文同时带ACK标志和SYN标志。因此它表示对刚才客户端SYN报文的回应;同时又标志SYN给客户端,询问客户端是否准备好进行数据通讯。 (3)客户必须再次回应服务段一个ACK报文,这是报文3。
2、连接终止协议(四次握手) 由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。当一端完成它的数据发送任务后就发送一个FIN来终止这个方向的连接。收到一个FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一端将执行主动关闭,而另一端执行被动关闭。 (1)TCP客户端发送一个FIN,用来关闭客户到服务器的数据传送(报文4) (2)服务器收到这个FIN,它发回一个ACK,确认序号为收到的序号加1(报文5)和SYN一样,一个FIN将占用一个序号 (3)服务器关闭客户端的连接,发送一个FIN给客户端(报文6)。 (4)客户段发回ACK报文确认,并将确认序号设置为收到序号加1(报文7)。 CLOSED:表示初始状态。 LISTEN:表示服务器端的某个SOCKET处于监听状态,可以接受连接了。 SYN_RCVD: 这个状态表示接受到了SYN报文,在正常情况下,这个状态是服务器端的
SOCKET在建立TCP连接时的三次握手会话过程中的一个中间状态,很短暂,基本上用netstat很难看到这种状态的,除非特意写了一个客户端测试程序,故意将三次TCP握手过程中最后一个ACK报文不予发送。因此这种状态时,当收到客户端的ACK报文后,它会进入到ESTABLISHED状态。 SYN_SENT: 这个状态与SYN_RCVD遥想呼应,当客户端SOCKET执行CONNECT连接时,它首先发送SYN报文,因此也随即它会进入到了SYN_SENT状态,并等待服务端的发送三次握手中的第2个报文。SYN_SENT状态表示客户端已发送SYN报文。ESTABLISHED:这个容易理解了,表示连接已经建立了。 FIN_WAIT_1: 这个状态要好好解释一下,其实FIN_WAIT_1和FIN_WAIT_2状态的真正含义都是表示等待对方的FIN报文。而这两种状态的区别是:FIN_WAIT_1状态实际上是当SOCKET在ESTABLISHED状态时,它想主动关闭连接,向对方发送了FIN报文,此时该SOCKET即进入到FIN_WAIT_1状态。而当对方回应ACK报文后,则进入到FIN_WAIT_2状态,当然在实际的正常情况下,无论对方何种情况下,都应该马上回应ACK报文,所以FIN_WAIT_1状态一般是比较难见到的,而FIN_WAIT_2状态还有时常常可以用netstat 看到。 FIN_WAIT_2:上面已经详细解释了这种状态,实际上FIN_WAIT_2状态下的SOCKET,表示半连接,也即有一方要求close连接,但另外还告诉对方,我暂时还有点数据需要传送给你,稍后再关闭连接。 TIME_WAIT: 表示收到了对方的FIN报文,并发送出了ACK报文,就等2MSL后即可回到CLOSED可用状态了。如果FIN_WAIT_1状态下,收到了对方同时带FIN标志和ACK标志的报文时,可以直接进入到TIME_WAIT状态,而无须经过FIN_WAIT_2状态。CLOSING: 这种状态比较特殊,实际情况中应该是很少见,属于一种比较罕见的例外状态。
TCP连接的建立和释放
TCP连接的建立和释放 TCP首部格式 先看TCP报文段的格式,如下; TCP报文段首部的前20个字节是固定的,后面有4N字节是根据需要而增加的选项。因此TCP报文段的最小长度为20个字节。 首部固定部分的各字段的意义如下: 1、源端口和目的端口:加上IP首部的源IP地址和目的IP地址,确定唯一的一个TCP连接。另外通过目的端口来决定TCP将数据报交付于那个应用程序,从而实现TCP的分用功能。 2、序号:占4个字节,序号的范围为[0,4284967296]。由于TCP是面向字节流的,在一个TCP连接中传送的字节流中的每一个字节都按顺序编号,首部中的序号字段则是指本报文段所发送的数据的第一个字节的序号。另外,序号是循环使用的,当序号增加到最大值时,下一个序号就又回到了0。 3、确认号:当ACK标志位为1时有效,表示期望收到的下一个报文段的第一个数据字节的序号。确认号为N,则表明到序号N-1为止的所有数据字节都已经被正确地接收到了。 4、头部长度:TCP报文段的头部长度,它指出TCP报文段的数据部分的起始位置与TCP报文段的起始位置的距离。头部长度占4个字节,但它的单位是32位字,即以4字节为计算单位,因此头部长度的最大值为15*4=60个字节,这就意味着选项的长度不超过40个字节。 5、保留位:必须为0. 6、下面的六个控制位说明报文段的性质:
1)URG:与首部中的紧急指针字段配合使用。URG为1时,表明紧急指针字段有效,发送应用进程告诉发送方的TCP有紧急数据要传送,于是发送方TCP就把紧急数据插入到本报文段数据的最前面,而其后面仍是普通数据。 2)ACK:仅当ACK=1时确认号字段才有效,当ACK=0时,确认号无效。TCP规定,在连接建立后所有的传送报文段都必须把ACK置1。 3)PSH:如果发送的报文段中PSH为1,则接收方接受到该报文段后,直接将其交付给应用进程,而不再等待整个缓存都填满后再向上交付。 4)RST:复位标志,RST=1时,表明TCP连接中出现严重差错,必须释放连接,然后重新建立运输连接。 5)SYN:同步序号,用来发起一个连接。当SYN=1而ACK=0时,表明这是一个连接请求报文段,若对方同意建立连接,则应在响应的报文段中使SYN=1和ACK=1。 6)FIN:用来释放一个连接。当FIN=1时,表明此报文段的发送方的数据已发送完毕,并要求释放连接。 7、窗口:接收方让发送方下次发送报文段时设置的发送窗口的大小。 8、校验和:校验的字段范围包括首部和数据这两部分。 9、紧急指针:紧急指针当URG=1时才有效,它指出本报文段中的紧急数据的字节数。值得注意的是,即使窗口为0时,也可发送紧急数据。 10、选项与填充:选项应该为4字节的整数倍,否则用0填充。最常见的可选字段是最长报文大小MSS(Maximum Segment Size),每个连接方通常都在通信的第一个报文段中指明这个选项。它指明本端所能接收的最大长度的报文段。该选项如果不设置,默认为536(20+20+536=576字节的IP数据报),其中ip首部和tcp首部各20个字节,而internet 上标准的MTU (最小)为576B。 TCP连接的建立 下图为TCP三次握手连接的建立过程: 服务端的TCP进程先创建传输控制块TCB,准备接受客户端进程的连接请求,然后服务端进程处于LISTEN状态,等待客户端的连接请求,如有,则作出响应。
TCP三次握手
TCP/IP三次握手的过程和抓包分析原理 TCP握手协议 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。 第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认; 第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV 状态; 第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包 ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。 完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念: 未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN 包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。 Backlog参数:表示未连接队列的最大容纳数目。 SYN-ACK 重传次数服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。 半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN 包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。 ==================================================================== 现在,我们来看一个完整的流程,在一个TCP socket上系统调用connect究竟是如何建立起一个到对端的连接的。我们还是以实验环境172.16.48.2向172.16.48.1的端口5002发起连接请求为例。 第一步,172.16.48.2向172.16.48.1发起连接请求,发送一个SYN段,指明目的端口5002,通告自己的初始序号(ISN,由协议栈随机产生的一个32位数),设置确认序号为0(因为还没有收到过对端的数据),通告自己的滑动窗口大小为5840(对端是5792,这似乎有问题,有待进一步细查),窗口扩大因子为2(在首部选项中),通告最大报文段长度为1460(本地局域网),下面是数据内容(已剥去链路层的以太网首部和网络层的IP 首部): 数据内容含义 基本首部 80 0e 源端口(32782)