轉(zhuǎn)自51CTO博客作者lihongweibj，原文地址：https://blog.51cto.com/lihongweibj/1690518
工作中分析包時(shí)看到的一篇文章，轉(zhuǎn)發(fā)收藏下，以便下次使用

三次握手

wKioL1XlX13xlyMyAAFscNScy5c669.jpg

172.18.254.177為客戶(hù) 111.13.2.158為服務(wù)端

1、主動(dòng)打開(kāi)。發(fā)送SYN，協(xié)商window size 、TCP MSS seq=0 len=0 MSS=1460 win=65535最大窗口大小

客戶(hù)端為syn_sent

服務(wù)端為syn_recv

2、接收到syn?；貜?fù)syn ack seq=0 ack=1=0+1 確認(rèn)自己的最大win=14480 MSS=1460

客戶(hù)端為established

服務(wù)端為syn_recv

3、接到到syn 回復(fù)ack seq=1 ack=1=0+1 至此三次握手成功建立。

客戶(hù)端為established

服務(wù)端為established

四次斷開(kāi)

wKioL1XlX2_AUT7YAAGbpSbjH5U362.jpg

1、主動(dòng)關(guān)閉，發(fā)送fin。Seq=328

服務(wù)端狀態(tài)為fin_wait1

客戶(hù)端狀態(tài)為closed_wait

2、客戶(hù)端發(fā)送確認(rèn)ack ack=329=328+1

服務(wù)端狀態(tài)為fin_wait2

3、客戶(hù)端發(fā)送fin seq=133

客戶(hù)端狀態(tài)為last_ack

服務(wù)端狀態(tài)為time_wait

4、服務(wù)端發(fā)送ack ack=134=133+1

客戶(hù)端狀態(tài)closed

服務(wù)端狀態(tài)closed

數(shù)據(jù)包ACK=segment len+seq = 下一個(gè)要接收的數(shù)據(jù)包的seq

wKioL1Xo956wfPxEAANr3qx7vFo320.jpg

圖1

wKiom1Xo9XqC4Z0tAAKq0Ca2WuM420.jpg

圖2

wKioL1Xo956CwfovAALFFcot3aA172.jpg

圖3

由圖1 數(shù)據(jù)包情況可以看出 359 seq=1441 segment len=1440 所以下一個(gè)回包的ack=1441+1440=2881 從圖2中可以確認(rèn)ack確實(shí)為2881.

圖2 數(shù)據(jù)包情況可以看出 360 seq=349 segment len=0 所以下一個(gè)回包的ack=349+0=349，從圖3可以確認(rèn)ack確實(shí)為349.

圖1 359 的ack=349 則圖2 350 的seq=349 ack=2881 推斷圖3 361的seq=2881 .

一條完整會(huì)話（session）指的是，相同的傳輸協(xié)議中兩個(gè)不同IP之間的兩個(gè)不同端口的互相通信，如果IP或端口變化剛屬于不同的會(huì)話，其seq和ack也是相互獨(dú)立的，沒(méi)有任何關(guān)聯(lián)。

TCP segment of a reassembled PDU (TCP數(shù)據(jù)包重組的一部分)

wKioL1XlYEHgbu_rAADSnbJx6ak656.jpg

分段的數(shù)據(jù)包的ACKnum相同，

當(dāng)請(qǐng)求的數(shù)據(jù)包大于TCP MSS時(shí)會(huì)將數(shù)據(jù)分為多個(gè)數(shù)據(jù)包進(jìn)行傳輸。

局域網(wǎng)內(nèi)的TCP MSS大小為1460=1500-20（IP包頭）-20（TCP包頭）

wKiom1XoaJyDscodAAUHKhqnRp4820.jpg

server=124.192.132.36 client=192.168.10.111

(378、381、384、387) seq=349不變，ack一直增加。說(shuō)明client端一直在接收server端的數(shù)據(jù)，且一直在給client應(yīng)答。

wKioL1Xo1jHAQbEQAANJp6mqMxc204.jpg

wKiom1Xo1A2CdixvAALdZxxK7Uc402.jpg

wKioL1Xo1jHwTb2AAAKf7LnUZbE552.jpg

server=124.192.132.36 client=192.168.10.111

（376、377、379） ack=349沒(méi)有變化。seq不斷增加，說(shuō)明server端一直在向client發(fā)送數(shù)據(jù)包，不用給client應(yīng)答，而是等待client端的應(yīng)答。

由以上可以看出client不用對(duì)server端的每一個(gè)包都做一一應(yīng)答，可以接收幾個(gè)包后統(tǒng)一做應(yīng)答。

TCP window update （TCP 窗口更新）

TCP zero window

TCP window full

wKioL1XmvTDh1SqAAAGjrU4JZqc299.jpg

wKioL1XmvOzyjnjcAAaVcyp_la0940.jpg

是TCP通信中的一個(gè)狀態(tài)，它可以發(fā)生的原因有很多，但最終歸結(jié)于發(fā)送者傳輸數(shù)據(jù)的速度比接收者讀取的數(shù)據(jù)還快，這使得接受端的在緩沖區(qū)必須釋放一部分空間來(lái)裝發(fā)送過(guò)來(lái)的數(shù)據(jù)，然后向發(fā)送者發(fā)送Windows Update，告訴給發(fā)送者應(yīng)該以多大的速度發(fā)送數(shù)據(jù)，從而使得數(shù)據(jù)傳輸與接受恢復(fù)正常。

或者一個(gè)TCP Window變?yōu)?了, 或者接近0了, 這就會(huì)警告數(shù)據(jù)發(fā)送方?jīng)]有更多空間來(lái)接受更多數(shù)據(jù)了.文件傳輸會(huì)停止, 直到收到一個(gè)update說(shuō)buffer已經(jīng)清空了.

Tcp window full :服務(wù)端向客戶(hù)端發(fā)送的一種窗口警告。

Tcp zero window：客戶(hù)端向服務(wù)端發(fā)送的一種窗口警告。

Tcp keep-alive: 會(huì)話保持，一般由服務(wù)端發(fā)出。

以下是針對(duì)上圖的數(shù)據(jù)包進(jìn)行分析

客戶(hù)端：192.168.10.111 服務(wù)端：42.250.12.36

131：服務(wù)端向客戶(hù)端發(fā)出tcp window full，表示無(wú)法再接受新的數(shù)據(jù)，

132：客戶(hù)端向服務(wù)端發(fā)送tcp zero window ，表示沒(méi)有window可以接收新數(shù)據(jù)

137：服務(wù)端向客戶(hù)端發(fā)送keep-live，保持會(huì)話，直至客戶(hù)端有足夠的window可以再次接收數(shù)據(jù)。

138：客戶(hù)端再次向服務(wù)端發(fā)送 tcp zere window ，提示服務(wù)端目前沒(méi)有足夠的window可以接收新數(shù)據(jù)。

139：客戶(hù)端向服務(wù)端發(fā)送 tcp window update，表示buffer已經(jīng)清空。并提示服務(wù)端現(xiàn)在已經(jīng)有足夠的window 大小為 17280。

140：由于收到了客戶(hù)端發(fā)送的window buffer已經(jīng)清空，所以繼續(xù)發(fā)送數(shù)據(jù)。

TCP DUP ACK （重復(fù)的ACK）

wKioL1XlX7LRd2bpAAGTxqoAu84045.jpg

wKioL1Xlo9OSl5stAAMFqaa8keQ933.jpg

表示數(shù)據(jù)段已丟失， 574是數(shù)據(jù)丟失的位置，#1 代表丟失一次。

一般情況下，當(dāng)網(wǎng)絡(luò)延時(shí)增大導(dǎo)致網(wǎng)絡(luò)速度變慢，是產(chǎn)生重復(fù)ACK的一個(gè)主要原因。或者是服務(wù)端或者客戶(hù)端響應(yīng)速度變慢或者沒(méi)沒(méi)有響應(yīng)。

TCP out-of-order

wKiom1XlXcCDqfqcAADCxhkH-Ys945.jpg

wKiom1XlXc-ie_uLAAG86whhBSI904.jpg

由于收到的數(shù)據(jù)包亂序，有可能是網(wǎng)絡(luò)擁塞或者路由上存在負(fù)載分擔(dān)的情況，導(dǎo)致后發(fā)送的數(shù)據(jù)包先達(dá)到。

TCP Restransmission 重傳

wKioL1XlYAHjxAxxAAQHFLqHGJ4246.jpg

170號(hào)數(shù)據(jù)包是為167號(hào)數(shù)據(jù)包做的重傳操作，所以seq ack都是一樣的，seq=2070 ack=6264

TCP previous segment not captured 之前的分段未收到

wKiom1XpDFGBi6qLAAPwxDW2DoE290.jpg

說(shuō)明亂序了，未收到之前的數(shù)據(jù)包，也要進(jìn)行重傳，1932的ack=83066，也就是要求server端下次發(fā)送seq=83066的包，結(jié)果 1933發(fā)送的數(shù)據(jù)包seq=85946.說(shuō)明server端收到過(guò)client端發(fā)送的數(shù)據(jù)包ack=85946，則判斷之前的一個(gè)數(shù)據(jù)包未收到。在1934 對(duì)1932數(shù)據(jù)包進(jìn)行重傳操作。