1、第一章 協(xié)議簡(jiǎn)介,更新時(shí)間：2010/02/06,一、TCP協(xié)議簡(jiǎn)介,TCP（Transmission Control Protocol)的簡(jiǎn)寫，中文譯名為傳輸控制協(xié)議 。位于OSI中的傳輸層。 傳輸層主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在 TCP/IP協(xié)議族中，有兩個(gè)互不相同的傳輸協(xié)議：TCP（傳輸控制協(xié)議）和UDP（用戶數(shù)據(jù)報(bào)協(xié)議） 。 TCP為兩臺(tái)主機(jī)提供高可靠性的數(shù)據(jù)通信。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊交給下面的網(wǎng)絡(luò)層，確認(rèn)接收到的分組，設(shè)置發(fā)送最后確認(rèn)分組的超時(shí)時(shí)鐘等。由于運(yùn)輸層提供了高可靠性的端到端的通信，因此應(yīng)用層可以忽略所有這些細(xì)節(jié)。 像我們平時(shí)使

2、用瀏覽器打開網(wǎng)站，遠(yuǎn)程桌面連接都使用TCP協(xié)議。,1. TCP連接的建立,建立一個(gè) tcp連接，需要建立三次握手，看左圖： client第一次發(fā)送一個(gè)帶有SYN標(biāo)志位的包到達(dá)server,server回應(yīng)SYN,ACK標(biāo)志位，最后client回應(yīng)ACK,連接建立完成。,2. TCP數(shù)據(jù)的傳輸,Tcp將應(yīng)用進(jìn)程交付給自己的數(shù)據(jù)分成很多小數(shù)據(jù)段，每個(gè)數(shù)據(jù)段的最大值是MSS（Maxitum Segment Size,最大傳輸大小的縮寫），這個(gè)值可在帶有標(biāo)志位SYN的包中看到。 MSS就是TCP數(shù)據(jù)包每次能夠傳輸?shù)淖畲髷?shù)據(jù)分段。為了達(dá)到最佳的傳輸效能TCP協(xié)議在建 立連接的時(shí)候通常要協(xié)商雙方的MSS值

3、，這個(gè)值TCP協(xié)議在實(shí)現(xiàn)的時(shí)候往往用MTU值代替（需要減去IP數(shù)據(jù)包包頭的大小20Bytes和TCP數(shù)據(jù)段的 包頭20Bytes）所以往往MSS為1460。通訊雙方會(huì)根據(jù)雙方提供的MSS值得最小值確定為這次連接的最大MSS值。,TCP對(duì)每次發(fā)達(dá)的數(shù)據(jù)段，都帶有一個(gè)序列號(hào)，對(duì)方收到此數(shù)據(jù)會(huì)對(duì)此數(shù)據(jù)進(jìn)行確認(rèn)，表明這部分我已經(jīng)收到了，同時(shí)表示我想下次收到某一個(gè)序列號(hào)的數(shù)據(jù)段。因?yàn)檫@樣，所以TCP才提供了可靠的數(shù)據(jù)流傳輸，如果其中某個(gè)數(shù)據(jù)段丟失了，卻等了一段時(shí)間之后還沒有收到對(duì)此數(shù)據(jù)的確認(rèn)，它會(huì)重新再傳一份過去。直到收到對(duì)此數(shù)據(jù)段的確認(rèn)為止。 而UDP沒有這種對(duì)數(shù)據(jù)段的確認(rèn)功能。,3. TCP連接的終

4、止,在client,server之間的數(shù)據(jù)傳輸完成后，會(huì)有一方主動(dòng)請(qǐng)求終止這個(gè)tcp連接。 假設(shè)server主動(dòng)終止tcp連接： server會(huì)發(fā)送帶有FIN標(biāo)志位的包到達(dá)client,client收到這個(gè)FIN包后，回應(yīng)ACK包對(duì)這個(gè)FIN包確認(rèn)，接著client也發(fā)送FIN到server,server收到后也發(fā)送確認(rèn)ACK。 當(dāng)然FIN和ACK也可以在一個(gè)包一同發(fā)送過去。,4. TCP狀態(tài)變遷圖,左邊圖是從進(jìn)程開始closed，到監(jiān)聽，到完成一系列的連接后，client 和server中tcp的狀態(tài)變化圖。,二、HTTP協(xié)議簡(jiǎn)介,超文件傳輸協(xié)議(HTTP，HyperText Transfe

5、r Protocol)是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)傳輸協(xié)議。 Web的應(yīng)用層協(xié)議HTTP是Web的核心。HTTP在Web的客戶程序和服務(wù)器程序中得以實(shí)現(xiàn)。運(yùn)行在不同端系統(tǒng)上的客戶程序和服務(wù)器程序通過交換 HTTP消息彼此交流。HTTP定義這些消息的結(jié)構(gòu)以及客戶和服務(wù)器如何交換這些消息。 我們每天看網(wǎng)站，新聞，論壇，視頻網(wǎng)站，基本上都是通過瀏覽器來實(shí)現(xiàn)的，但瀏覽器底層就是使用HTTP協(xié)議與服務(wù)器傳輸數(shù)據(jù)的。,HTTP協(xié)議目前有兩個(gè)版本1.0和1.1，大部分瀏覽器默認(rèn)使用HTTP 1.1。 它是一種應(yīng)用層協(xié)議，在TCP協(xié)議之上。 如：當(dāng)打開 時(shí)，瀏覽器發(fā)送一個(gè)帶有HTTP協(xié)議頭的包到達(dá)sina

6、服務(wù)器,服務(wù)器回應(yīng)的數(shù)據(jù)都帶有HTTP頭數(shù)據(jù)，再加上真正的網(wǎng)站數(shù)據(jù)。但它還是要通過TCP幫它傳輸自身的，HTTP頭加上HTTP數(shù)據(jù)，在TCP那兒看來，還是TCP的數(shù)據(jù)部分。(后在數(shù)據(jù)包分析有講),HTTP協(xié)議傳輸過程,Client首先和Server建立tcp連接，然后client發(fā)送請(qǐng)求，server回應(yīng)請(qǐng)求; client再發(fā)送請(qǐng)求，server再回應(yīng)請(qǐng)求;如此重復(fù)的下去，直到client或server 主動(dòng)終止連接。,三、UDP協(xié)議簡(jiǎn)介,UDP 是User Datagram Protocol的簡(jiǎn)稱， 中文名是用戶數(shù)據(jù)包協(xié)議，是 OSI 參考模型中一種無連接的傳輸層協(xié)議，提供面向事務(wù)的簡(jiǎn)單不

7、可靠信息傳送服務(wù)。 UDP是無連接的，所以不存在建立三次握手,客戶端只要發(fā)送一個(gè)udp數(shù)據(jù)到服務(wù)器，數(shù)據(jù)部分帶有請(qǐng)求部分，服務(wù)器接受到了就會(huì)且個(gè)應(yīng)答。 UDP是個(gè)不可靠的連接，目前網(wǎng)絡(luò)還用它的原因是： 它有時(shí)傳輸?shù)母?，?jiǎn)單。 DNS 域名解析就是一個(gè)例子，視頻聊天室傳輸視頻也是。,四、DNS協(xié)議簡(jiǎn)介,DNS是域名系統(tǒng)(DomainNameSystem)的縮寫 ，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。域名是由圓點(diǎn)分開一串單詞或縮寫組成的，每一個(gè)域名都對(duì)應(yīng)一個(gè)惟一的IP地址，在 Internet上域名與IP地址之間是一一對(duì)應(yīng)的，DNS就是進(jìn)行域名解析的服務(wù)器。DNS命名用于Inte

8、rnet等TCP/IP網(wǎng)絡(luò)中，通過用戶友 好的名稱查找計(jì)算機(jī)和服務(wù)。DNS是因特網(wǎng)的一項(xiàng)核心服務(wù),它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫。 簡(jiǎn)單說就是將網(wǎng)站名字翻譯成ip地址的。 平時(shí)的網(wǎng)站都是 這些名字，但網(wǎng)絡(luò)連接這些網(wǎng)站時(shí)，是以ip地址來連接，如果讓你訪問 記住要用94這個(gè)ip去登陸，你記得住嗎，網(wǎng)站那么多，你能記得住幾個(gè)ip地址？ 這就是每臺(tái)上網(wǎng)的電腦中要設(shè)置dns服務(wù)器地址的原因。 當(dāng)你在瀏覽器輸入，瀏覽器就會(huì)向你電腦中設(shè)置的dns地址，發(fā)送一個(gè)dns請(qǐng)求，請(qǐng)求的內(nèi)容是”的ip是多少”，dns服務(wù)器收到后，會(huì)將對(duì)應(yīng)的ip地址回應(yīng)給瀏覽器，瀏覽器才會(huì)

9、向這個(gè)ip地址發(fā)送tcp 的連接。 如果dns解析不出ip地址，那你的網(wǎng)站通過域名也就沒法打開了。,第二章 協(xié)議分析儀,本章主要講解協(xié)議分析儀(數(shù)據(jù)包分析軟件)的基本使用。 下面以ethereal軟件為例：,一、Ethereal使用,Ethereal簡(jiǎn)介： 下載地址:( ethereal是一款基于tcpdump的開源GUI數(shù)據(jù)包嗅探分析軟件，支持UNIX、GNU/Linux、Windows、類BSD等操作系統(tǒng)。,軟件界面,捕獲過濾器,含義： 就對(duì)要獲取的數(shù)據(jù)定義一個(gè)捕獲條件，因?yàn)槟憧赡苤粚?duì)tcp數(shù)據(jù)包感興趣，所以沒有必要將其它協(xié)議的數(shù)據(jù)捕獲下來。,捕獲過濾器簡(jiǎn)單語法,如果只想捕獲UDP協(xié)議，填

10、udp就可以了. 如果想捕獲dns數(shù)據(jù),填udp port 53 如果想捕獲訪問網(wǎng)站數(shù)據(jù),填tcp port 80 如果想捕獲數(shù)據(jù)，填host 如果想捕獲arp數(shù)據(jù)，填arp 如果想捕獲arp和tcp數(shù)據(jù)，填arp | tcp,顯示過濾器,含義： 如果像之前已經(jīng)只捕獲了tcp和udp的數(shù)據(jù)，但可能還需要只看tcp數(shù)據(jù)中的某部分?jǐn)?shù)據(jù)，如只看這個(gè)ip的數(shù)據(jù)，這里就要用到顯示過濾器了。它是從已經(jīng)捕獲到的數(shù)據(jù)中再次過濾，將過濾后的數(shù)據(jù)單獨(dú)顯示出來。,顯示過濾器簡(jiǎn)單語法,如果只想看tcp 80端口的數(shù)據(jù)，填tcp.port=80 如果想

11、看tcp數(shù)據(jù)，填tcp 如果想看和之間的通訊數(shù)據(jù)，填ip.addr= 2. 規(guī)則中封了本地ip的此端口流量; 3. 規(guī)則中封了外部ip的所有流量; 4. 防火墻的屏蔽列表。,四、 SYN Flood攻擊,看下圖，可以看到很多主機(jī)向ip發(fā)送帶有syn標(biāo)志位的數(shù)據(jù)包,而且源ip都不一樣。 如果出現(xiàn)很多，基本可以斷定受到SYN Flood攻擊了。,五、 TCP連接被重置,從下圖可以看到:6向9發(fā)送了TCP 請(qǐng)求建立包， 但9并沒有回應(yīng)SYN,ACK包，而是RS

12、T,ACK包，說明服務(wù)器拒絕這個(gè)連接，可能原因是服務(wù)器沒有開啟網(wǎng)站80端口。,六、 TCP會(huì)話超時(shí),TCP連接都有一個(gè)會(huì)話，金盾防火墻參數(shù)設(shè)置中的連接空閑超時(shí)，也是這個(gè)意思。 如果此段時(shí)間，tcp雙方?jīng)]有數(shù)據(jù)傳輸，會(huì)被其中一方主動(dòng)斷開?？聪聢D，tcp三次握手建立好后，過了60秒，都沒有數(shù)據(jù)傳輸，被server端斷開連接了。,七、網(wǎng)站打開過程(直接ip訪問),在與服務(wù)器建立好tcp三次握手后，瀏覽器會(huì)發(fā)送GET / 數(shù)據(jù)包,服務(wù)器收到后回應(yīng)網(wǎng)站主頁面給瀏覽器，瀏覽器解析這個(gè)主頁文件，如果這個(gè)文件中還有圖片的，還會(huì)再建立連接去下載圖片等。服務(wù)器的成功回應(yīng)代碼是HTTP 200 OK.,八、網(wǎng)站打開過程(域名訪問),下圖是使用瀏覽器打開公司主頁，抓取的數(shù)據(jù)包。 第52: 1.219首先向8請(qǐng)求 對(duì)應(yīng)的ip是多少？ 第53: 8回應(yīng)1.219域名對(duì)應(yīng)的ip是20 第54: 因?yàn)橛蛎鹖p解析成功，所以1.219接著發(fā)起tcp連接請(qǐng)求。,九、網(wǎng)站主頁請(qǐng)求失敗,看下圖 ，tcp三次握手已經(jīng)建立成功，同時(shí)客戶端也發(fā)出GET / 數(shù)據(jù)包，但一段時(shí)間后，服