一、前言

TCP/IP(一)曾在賽迪網(wǎng)發(fā)過一篇《用協(xié)議分析工具學(xué)習(xí)TCP/IP〔以下簡稱“學(xué)習(xí)“，看到“次供給其它的補(bǔ)充“TCP/TP協(xié)議簇是InternetTCP/TP協(xié)議的根底上，要學(xué)的東西很多，“學(xué)習(xí)“一文概述了數(shù)據(jù)的傳送過程，講到了TCP標(biāo)志位的變化，本文重點(diǎn)闡述TCP的狀態(tài)變遷的狀況，假設(shè)對TCP協(xié)議還不生疏請參閱“學(xué)習(xí)“一文，前文講過的本文不再贅述。二、為什么要學(xué)習(xí)TCP的狀態(tài)變遷要說清楚為什么，先說說狀態(tài)，打個(gè)簡潔的比方，一般來說一個(gè)人“笑“是“快活“的狀態(tài)，“哭“是“哀痛“的狀態(tài)，“怒吼“是“發(fā)怒“的狀態(tài)等等，也就是說一個(gè)人在做某個(gè)動(dòng)作時(shí)就處于肯定的狀態(tài)，其實(shí)，網(wǎng)絡(luò)中的計(jì)算機(jī)在相互通訊時(shí)，在不同的階段就處于不同的狀態(tài)，“學(xué)習(xí)“一文中講到的數(shù)據(jù)的幾個(gè)傳送過程〔建立連接、數(shù)據(jù)傳送、完畢連接，在各個(gè)過程中，TCP同的狀態(tài)，由此可以看出，只有格外生疏TCP的狀態(tài)，才能知道目前你的計(jì)算機(jī)在網(wǎng)絡(luò)中處于受到了攻擊？哪些端口處于開放狀態(tài)？中木馬了嗎？等等諸如此類的問題都與TCP的狀態(tài)有TCP狀態(tài)的緣由。1、要有“動(dòng)“的概念狀態(tài)是隨著不同的狀況而發(fā)生變化的，還用上面的比方，一個(gè)人“笑“是處于“快活“的狀態(tài)，他笑著笑著不笑了也就從“快活“的狀態(tài)變?yōu)閯e的狀態(tài)了。狀態(tài)是隨著條件的不同而變化的，是動(dòng)的，從下面的學(xué)習(xí)可以看出，在不同的階段，TCP協(xié)議的標(biāo)志位各不一樣，反映出來的現(xiàn)象就是狀態(tài)的變化。2、要分清楚哪些是客戶端的狀態(tài)，哪些是效勞器端的狀態(tài)何謂客戶端和效勞器端，你正在上網(wǎng)時(shí)，你的計(jì)算機(jī)就是客戶端，而你訪問的網(wǎng)站的效勞器就是效勞器端。假設(shè)你在你的機(jī)器中供給了一個(gè)www效勞，那此時(shí)你的機(jī)器就是效勞器端，訪問你的計(jì)算機(jī)是客戶端?？梢娨慌_計(jì)算機(jī)即可作為客戶端也可作為效勞器端。有些狀態(tài)是客戶端獨(dú)有的，有些是效勞器端獨(dú)有的，有些是都有的，在下面的學(xué)習(xí)中肯定要留意區(qū)分。3、TCP的狀態(tài)實(shí)際上就是某個(gè)端口的狀態(tài)“學(xué)習(xí)“TCP協(xié)議在通訊時(shí)用到源端口和目的端口，源端口是本機(jī)翻開的，目的端www效勞默認(rèn)翻開80E_mail效勞默認(rèn)翻開25端口，供給FTP效勞默認(rèn)翻開21端口，效勞端口號一般是固定的，當(dāng)有其它的計(jì)算機(jī)訪問你的www效勞時(shí)，那臺計(jì)算機(jī)要隨機(jī)開個(gè)端口(1024以上)與你的80端口進(jìn)展通訊，此時(shí)你的80端口的TCP狀態(tài)將會隨著不同的階段而發(fā)生變化，而此時(shí)21、25等效勞端口在沒有被訪問的狀況下是不會發(fā)生變化的。學(xué)習(xí)時(shí)肯定要清楚TCP的狀態(tài)實(shí)際上就是某個(gè)端口的狀態(tài)這句話的含義。四、測試環(huán)境測試環(huán)境請參見用協(xié)議分析工具學(xué)習(xí)TCP/IP一文。IRIS、Snifferpro協(xié)議分析工具有很多，也有免費(fèi)的，只要能把包抓下來就行了。Windows系統(tǒng)自帶的網(wǎng)絡(luò)監(jiān)視LinuxTCPDUMP也是不錯(cuò)的工具。TCP狀態(tài)觀看工具TCPview，該軟件很小只有93KB，而且是個(gè)綠色軟件，不用安裝。下載地很多down“:///soft/3483.htm“:///soft/3483.htm。圖1和圖2都是在《TCP/IP祥解》一書中截取的格外經(jīng)典的TCP的狀態(tài)變遷圖，這兩張圖格外清楚地顯示了TCP狀態(tài)變遷的具體過程。期望能在看完此文后在懂得TCP狀態(tài)的根底上將這兩張圖燒到你的腦子里。1中，虛線是效勞器端的正常狀態(tài)變化：從CLOSED->LISTIN->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED->LISTIN粗實(shí)線是客戶端的正常狀態(tài)變化：從 CLOSED->SEND_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED其中CLOSED狀態(tài)是個(gè)開頭狀態(tài)，在實(shí)際觀看中是看不到的〔本人觀點(diǎn)〕細(xì)實(shí)線是數(shù)據(jù)傳輸過程中可能消滅的一些狀況的狀態(tài)。圖2是將客戶端和效勞器端分開的狀態(tài)顯示。這兩張圖在下面的學(xué)習(xí)中要常常用到。1TCP的狀態(tài)變遷圖圖2TCP正常連接建立和終止所對應(yīng)的狀態(tài)TCP的狀態(tài)1、命令方式下面以WindowsXP為例看看安裝的系統(tǒng)都開了那些端口，也就是說都預(yù)留了那些門，不借助netstat，方法如下：a、在“開頭“的“運(yùn)行“cmd，回車b3dosnetstat-na3顯示的就是翻開的效勞端口，其中Proto代表協(xié)議，該圖中可以看出有TCP和UDP兩種協(xié)議。LocalAddress代表本機(jī)地址，該地址冒號后的數(shù)字就是開放的端口號。ForeignAddress代表遠(yuǎn)程地址，假設(shè)和其它機(jī)器正在通信，顯示的就是對方的地址，State代表狀態(tài)，顯示的LISTENING表示處于偵聽狀態(tài)，就是說該端口是開放的，看看它的意思。TCP:13:0LISTENING這一行的意思是本機(jī)的135端口正在等待連接。留意：只有TCP協(xié)議的效勞端口才能處于LISTENING狀態(tài)。其它狀態(tài)稍后講。32TCPView工具為了更好的分析端口，最好用TCPView這個(gè)軟件，它是動(dòng)態(tài)的。圖4是TCPView“Options“->“Font“中將字號調(diào)大即可。TCPView顯示的數(shù)據(jù)是動(dòng)態(tài)的。圖3中LocalAddress顯示的就是本機(jī)開放的哪個(gè)端口〔：號后面的數(shù)字TCPView3可以看出4451391025135、5000等端口是開放的，445、139等端口都是system發(fā)起的，135等都是SVCHOST發(fā)起的。41、抓包抓包過程請參見“學(xué)習(xí)“一文中的“三、測試過程“，不同的是不用下載文件，在掃瞄器中輸入FTP地址后關(guān)閉掃瞄器既是一個(gè)完整的數(shù)據(jù)傳輸過程。另為208號機(jī)改為2075中是截取的過程，其中10-28行省略了。52、分析三次握手的狀態(tài)53-52看其狀態(tài)變化如下：1〕圖5第3行和圖6顯示，207號機(jī)向1號機(jī)發(fā)出連接懇求,207號機(jī)標(biāo)志位SYN置1，隨即產(chǎn)生一個(gè)初始序號〔SEQ〕37481682371207SYN_SEND狀態(tài)。2)〕圖546No.4顯示，113748168238作為應(yīng)答信號〔ACK，同時(shí)隨機(jī)產(chǎn)生一個(gè)初始序號〔SEQ〕4265983929，此時(shí)1號機(jī)將標(biāo)志位SYNACK12071LISTENSYN_RCVD狀態(tài)。3)〕556No.5顯示，2071〔SEQ〕426598392914265983930作為應(yīng)答信號并且將標(biāo)志為ACK11號機(jī)。這樣在完207ESTABLISHED狀態(tài)。6是三次握手的標(biāo)志位變化狀況。6三次握手的標(biāo)志位變化數(shù)據(jù)傳輸?shù)臓顟B(tài)圖5中6-30行是數(shù)據(jù)傳送的過程，數(shù)據(jù)在傳送的過程中始終處于ESTABLISHED狀態(tài)。ESTABLISHEDESTABLISHED狀態(tài)的連接肯定要格外留意，由于它或許是正常傳輸數(shù)據(jù)，或許是木馬之類在盜取你的數(shù)據(jù)。7是數(shù)據(jù)傳輸時(shí)的標(biāo)志位變化。7數(shù)據(jù)傳輸時(shí)的標(biāo)志位變化終止連接的狀態(tài)532-352看其狀態(tài)變化如下：132行數(shù)據(jù)和圖8中No.32顯示的是207207號機(jī)將FIN置1連同序號(SEQ)37481683371207FIN_WAIT_1狀態(tài)。338No.331FINCLOSE_WAIT狀態(tài)，1號機(jī)將標(biāo)志位ACK置1，并將應(yīng)答信號設(shè)置為收到序號加1〔ACK=3748168338〕發(fā)回給207號機(jī)，這樣就終止了這個(gè)方向的傳輸。348No.341FIN1連同序號(SEQ)4265984517207號機(jī)1LAST_ACK狀態(tài)358No.35207FIN關(guān)閉懇求后，發(fā)回一個(gè)確認(rèn)，并將應(yīng)答信號設(shè)置為收到序號加1〔ACK=4265984518，至此TCP連接徹底關(guān)閉。此時(shí)207號機(jī)處于TIME_WAIT狀態(tài)。1CLOSED狀態(tài)，此次連接徹底完畢。7是終止連接的標(biāo)志位變化。8終止連接的標(biāo)志位變化4〕TCP狀態(tài)顯示9、10、111號機(jī)在不同階段用TCPview捕獲的TCP狀態(tài)，由于有些狀態(tài)格外短暫，難以捕獲，只要能理解其中的意思即可。在上網(wǎng)是留意用TCPview觀看，圖3中的狀態(tài)根本都能看到，TCPview顯示的狀態(tài)既有客戶端的也有效勞器端的。圖11就是在1號機(jī)顯示的207號機(jī)的狀態(tài)。91FTPLISTENING狀態(tài)的狀況。102071121ESTABLISHED狀態(tài)，這里需要留意的是1號機(jī)在和207號機(jī)建立連接時(shí)，還有一個(gè)21端口處于LISTENING狀態(tài)，這是由于它允很多用戶訪問，就像一個(gè)網(wǎng)站，它的80端口可以同時(shí)與許很多多的用戶建立連接。11TIME_WAIT207號機(jī)的狀態(tài)。91011上篇我們搭建一個(gè)最簡潔的網(wǎng)絡(luò)環(huán)境《用協(xié)議分析工具學(xué)習(xí)TCP/IP(二)器、建立連接，下面我們來爭論數(shù)據(jù)傳輸和終止連接。名目顯示的是1、2行的數(shù)據(jù)解釋數(shù)據(jù)包頭信息分析顯示的是3-5行的數(shù)據(jù)解釋數(shù)據(jù)包頭信息分析以下圖顯示的是57-60行的數(shù)據(jù)14解釋數(shù)據(jù)包這四行數(shù)據(jù)是數(shù)據(jù)傳輸過程中一個(gè)發(fā)送一個(gè)接收的過程。前文說過，TCP供給一種面對連接的、牢靠的字節(jié)流效勞。當(dāng)接收端收到來自發(fā)送端的信息時(shí)，承受端要發(fā)送一條應(yīng)答信息，表示收到此信息。數(shù)據(jù)傳送時(shí)被TCP分割成認(rèn)為最適合發(fā)送的數(shù)據(jù)塊。一般以太網(wǎng)在傳送時(shí)TCP將數(shù)據(jù)分為1460的發(fā)送，承受端收到這些數(shù)據(jù)后再將它們組合在一起。行顯示1號機(jī)給208號機(jī)發(fā)送了大小為1514是層層加協(xié)議頭的，1514字節(jié)=14字節(jié)以太網(wǎng)頭+20IP頭+20TCP頭+1460字節(jié)數(shù)據(jù)行顯示的應(yīng)答信號ACK為：1781514222，這個(gè)數(shù)是57SEQ1781512762加上傳送1460，2081號機(jī)說明已收到發(fā)來的數(shù)據(jù)。59、60行顯示的是連續(xù)傳送數(shù)據(jù)的過程。這個(gè)過程就像我向張三借書，借給我?guī)妆疚乙f：“我已借了你幾本了?！?，他說：“知道了”。頭信息15-115-25758行的頭信息，解釋參考其次組。93-96行的數(shù)據(jù)16解釋數(shù)據(jù)包93-96是兩機(jī)通訊完關(guān)閉的過程。建立一個(gè)連接需要三次握手，而終止一個(gè)連接要經(jīng)過4次握手。這是由于一個(gè)TCP連接是全雙工〔即數(shù)據(jù)在兩個(gè)方向上能同時(shí)傳遞〕，每個(gè)方向必需單獨(dú)地進(jìn)展關(guān)閉。4次握手實(shí)際上就是雙方單獨(dú)關(guān)閉的過程。本例文件下載完后，關(guān)閉掃瞄器終止了與效勞器的連接圖16的93-96行顯示的就是終止連接所4次握手過程。17-1208號機(jī)將FIN1連同序號(SEQ)987695574發(fā)給1號機(jī)懇求終止連接。行數(shù)據(jù)和圖17-2顯示1號機(jī)收到FIN關(guān)閉懇求后，發(fā)回一個(gè)確認(rèn)，并將應(yīng)答信號設(shè)置為收到1，這樣就終止了這個(gè)方向的傳輸。17-31FIN1連同序號(SEQ)1773196056208號機(jī)懇求終止連接。行數(shù)據(jù)和圖17-4顯示208號機(jī)收到FIN關(guān)閉懇求后，發(fā)回一個(gè)確認(rèn)，并將應(yīng)答信號設(shè)置為收1TCP連接徹底關(guān)閉。頭信息六、掃描實(shí)例下面我們再舉個(gè)ping的實(shí)例，測試某臺計(jì)算機(jī)是否通，最常用的命令就是ping命令。Ping一臺計(jì)算機(jī)，消滅如圖18所示界面就是通，消滅如圖19pingiris跟蹤上述狀況。181920ping通的狀況。如圖21是ping不通該計(jì)算機(jī)不存在的狀況。從圖可以看出ARP懇求沒有回應(yīng)。如圖22是ping不通，該計(jì)算機(jī)存在但安裝了防火墻的狀況。從圖可以看出AR