本文介绍: 在分析TCP数据包时,理解TCP协议工作原理报文格式是关键。TCP是一种面向连接的、提供可靠的、端到端的字节流传输服务。其头部结构包括源端口目标端口序列号确认应答号等字段序列号是在建立连接时由计算机生成随机数作为初始值,每发送一次数据,就累加一次该数字节数的大小,而确认应答号是指下一次期望收到数据序列号抓包分析数据包是理解TCP/IP协议的重要手段。Wireshark是最知名的网络通讯抓包分析工具可以截取各种网络封包并显示详细信息

分析TCP数据包时,理解TCP协议工作原理报文格式是关键。TCP是一种面向连接的、提供可靠的、端到端的字节传输服务。其头部结构包括源端口目标端口序列号、确认应答号等字段序列号是在建立连接时由计算机生成随机数作为初始值,每发送一次数据,就累加一次该数字节数的大小,而确认应答号是指下一次期望收到的数据的序列号

抓包分析数据包是理解TCP/IP协议的重要手段。Wireshark是最知名的网络通讯抓包分析工具可以截取各种网络封包并显示详细信息通过抓包分析数据包,我们可以深入理解TCP帧格式及“TCP三次握手”,进一步提高理论联系实践的能力。

例如我们选择一个TCP数据包进行分析,在数据包详细信息面板中,我们可以看到TCP协议的详细信息,包括TCP标志位、序号、确认号、窗口大小等信息。此外,我们还可以查看数据包的十六进制数据。

总的来说,TCP数据包的分析原理主要涉及对TCP协议理解使用相关工具行数据包抓取和分析以及理解TCP头部结构等方面。处理细节则包括如何从大量的数据包中筛选需要信息如何理解和解析TCP协议的各种字段等。

理解TCP协议工作原理报文

TCP(Transmission Control Protocol传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。它在互联网协议(IP)网络上通过TCP/IP协议栈进行工作
TCP的工作原理可以概括为以下几个方面:

1.建立连接:在源主机目标主机之间建立连接,以便进行数据传输
2.编号排序数据段:在连接建立后,源主机顺序发送数据段,每个数据段都有一个编号以便目标主机重新排序
3.确认和重传:目标主机对接收到的数据段进行确认,如果数据段丢失或损坏,则发送请求重传信号
4.流量控制:TCP使用窗口机制控制数据的流量,以避免因接收缓冲区满而造成的数据丢失
5.关闭连接:当数据传输完成时,连接将被关闭

TCP的报文格式包括以下几个部分

1.源端口和目标端口:指示数据从哪个进程来,到哪个进程去。
2.序号:表示从TCP源端向TCP目标端发送的数据字节流中的第一个数据字节
3.确认号:包含目标端所期望收到源端的下一个数据字节的序号。
4.TCP首部长度表示该TCP头部多少个32位(以4个字节单位)。
5.标志位:包括紧急标志(URG)、确认标志(ACK)、推送标志(PSH)、可重用标志(RST)、同步标志(SYN)和终止标志(FIN)等。
6.窗口大小:表示接收方可以接收最大数据量
7.校验和:用于校验数据的有效性。
8.紧急指针:当URG标志位为1时,表示紧急数据的位置
9.数据部分包含实际传输的数据。

TCP的报文格式根据不同的用途和选项可能会有所不同,但以上是基本组成部分。理解TCP报文格式对于理解TCP协议的工作原理实现可靠传输至关重要

TCP怎么实现可靠传输

TCP通过以下几种机制实现可靠传输

  1. 序列号和确认机制每个TCP包都有一个序列号,接收通过发送端的确认信息来确认收到的数据,并告知发送方下一个期望接收的数据序号。

  2. 超时重传:发送方在发送数据启动一个计时器,如果在规定时间内没有收到接收方的确认信息,就会认为数据丢失然后重新发送数据

  3. 滑动窗口协议:接收使用滑动窗口来控制数据的流量接收速度滑动窗口可以指定接收方现在能够接受的最大数据量,发送方需要确保在窗口范围内发送数据。

  4. 流量控制:TCP使用基于接收方通告的窗口大小来控制数据发送速率,确保发送方不会以过快的速度发送数据,使接收方无法处理

  5. 拥塞控制:TCP通过调整发送方的发送速率来避免网络拥塞。通过监测网络的拥塞程度并及时降低发送速率,使得整个网络能够维持在一个合理状态

以上是TCP实现可靠传输的主要机制通过这些机制,TCP可以在不可靠的网络环境实现可靠的数据传输

tcpflow – 分析网络流量

tcpflow是一个功能强大的、基于命令行免费开源工具用于在Unix之类的系统(如Linux)上分析网络流量。它可以捕获通过TCP连接接收或传输的数据,并存储文件中供以后分析,采用格式便于协议分析和调试

tcpflow工作原理基于LBL Packet Capture Library支持丰富的过滤条件,能够捕获网络或存储文件中的数据包,并按照正常顺序重建数据流。每一条TCP流都会被存储独立的文件中,方便以后分析。与tcpdump相比,tcpflow会重新构建真实的数据流,并且会分开存储

当你想要使用tcpflow命令捕获输出TCP流量时,以下是一些相关例子

  1. 基本使用
    tcpflow -r pcap_file.pcap
    

    这个命令读取一个PCAP文件(例如Wireshark捕获到的网络数据包),并将TCP流量保存到相应的文件或屏幕上。

默认情况下,tcpflow将所有捕获的数据存储在表单具有名称的文件中(如果使用某些选项(如时间戳 ),这可能会有所不同)。现在让我们做一个目录列表看看是否在任何文件中捕获了tcp流。

生成了一个XML报告,含有关于该程序的信息,比如它是如何编译的、它在哪台计算机运行以及每条TCP连接的记录

  1. 指定输出目录

    tcpflow -o output_directory -r pcap_file.pcap
    

    这个命令指定TCP流量的输出目录每个流将被保存为单独的文件,文件名由IP地址和端口组成。

  2. 显示请求响应

    tcpflow -r pcap_file.pcap 'src host X.X.X.X'
    tcpflow -r pcap_file.pcap 'dst host X.X.X.X'
    

    两个命令将只捕获某个特定源IP地址或目标IP地址请求响应流量。

  3. 过滤特定端口:

    tcpflow -r pcap_file.pcap 'tcp port 80'
    

    这个命令将只捕获TCP端口为80的流量。

  4. 高亮显示输出:

    tcpflow -C -r pcap_file.pcap
    

    这个命令将以彩色高亮方式显示输出结果以便更容易阅读和理解。

  5. 指定接口名称
    要从特定网络接口捕获数据包,请使用-i标志指定接口名称

    tcpflow -i eth0 port 80
    

有关更多信息和用法选项,请参见tcpflow手册页。

man tcpflow

Linux C/C++ 分析网络流量(十六进制TCP数据包分析)

编写主要目的是旧的tcpflow不提供十六进制控制台输出。Simson L.Garfinkel的新tcpflow需要一个libcairo-dev,这需要对我的服务器系统有很大的x11依赖性。我认为tcpflow是一个命令行工具,我真的不需要pdf报告。编译新的tcpflow很困难,而且根本不能禁用libcairo。

...
void hexdump(const char *buffer, size_t size)
{
...

    for (;;) {
        const char *line_end = line_start + LINE_CHAR_COUNT > buffer_end
                             ? buffer_end
                             : line_start + LINE_CHAR_COUNT;

        if (line_start == line_end) {
            break;
        }   
...

        // hex part
...

        // blank
        count += snprintf(output + count, sizeof(output), "    ");

        // acsii part
        for (const char *p = line_start; p < line_end; ++p) {
            count += snprintf(output + count, sizeof(output), "%c",
                              isprint(*p) ? *p : '.');
        }   

        printf("%sn", output);

        line_start = line_end;
    }   
}

void process_ip_packet(const struct timeval *ts,
                       const char *buffer, size_t size)
{
    if (size < sizeof(struct ip)) {
        die("invalid ip packet length");
    }

...

    process_tcp_packet(ts,
                       ntohl(ip_header-&gt;ip_src.s_addr),
                       ntohl(ip_header-&gt;ip_dst.s_addr),
                       buffer + ip_header_len,
                       ip_len - ip_header_len);
}

void process_tcp_packet(const struct timeval *ts,
                        u_int32_t src_addr, u_int32_t dst_addr,
                        const char *buffer, size_t size)
{
...

    if (size < sizeof(struct tcphdr)) {
        die("invalid tcp packet length");
    }

...
    if (tcp_header_len &gt;= size) {
        return;
    }

    if (g_option_color) {
        if (src_addr != last_src_addr || dst_addr != last_dst_addr ||
            src_port != last_src_port || dst_port != last_dst_port) {
            last_src_addr = src_addr;
            last_dst_addr = dst_addr;
            last_src_port = src_port;
            last_dst_port = dst_port;
            current_color = !current_color;
        }
        printf("%s", colors[current_color]);
    }

    if (g_option_display_header) {
...
        strftime(format_time, sizeof(format_time), "%Y-%m-%d %H:%M:%S", &amp;tm);
        printf("%s.%ld %d.%d.%d.%d:%d => %d.%d.%d.%d:%dn",
               format_time, ts->tv_usec / 1000,
               (src_addr &amp; 0xff000000) >> 24,
               (src_addr &amp; 0x00ff0000) >> 16,
               (src_addr &amp; 0x0000ff00) >> 8,
               src_addr &amp; 0x000000ff,
               src_port,
               (dst_addr &amp; 0xff000000) >> 24,
               (dst_addr &amp; 0x00ff0000) >> 16,
               (dst_addr &amp; 0x0000ff00) >> 8,
               dst_addr &amp; 0x000000ff,
               dst_port);
    }

    // print hex data
    hexdump(buffer + tcp_header_len, size - tcp_header_len);

    if (g_option_color) {
        printf("%s", "33[0m");
    }

    printf("n");
}


...
void print_usage(const char *prog_name)
{
    fprintf(stderr, "usage: %s [-Ce] <pcap_file> n", prog_name);
    fprintf(stderr, "   -C do not display packet descriptionn");
    fprintf(stderr, "   -e output in alternating colorsn");
}

void packet_handler(u_char *user, const struct pcap_pkthdr *h, const u_char *bytes)
{
    if (h->len <= g_datalink_header_length) {
        die("invalid datalink packet length");
    }

    process_ip_packet(&amp;h->ts, (const char *)bytes + g_datalink_header_length,
                      h->len - g_datalink_header_length);
}

int main(int argc, char *argv[])
{
...

    while ((opt = getopt(argc, argv, "Ce")) != -1) {
        switch (opt) {
        case 'C':
            g_option_display_header = false;
            break;
        case 'e':
            g_option_color = true;
            break;
        default:
            print_usage(argv[0]);
            exit(1);
        }
    }

    if (optind >= argc) {
        print_usage(argv[0]);
        exit(1);
    }

    const char *pcap_file_name = argv[optind];
    pcap_t *pd = pcap_open_offline(pcap_file_name, errbuf);
    if (NULL == pd) {
        die("%s", errbuf);
    }

    int dlt = pcap_datalink(pd);
    if (DLT_NULL == dlt) {
        g_datalink_header_length = 4;
    } else if (DLT_RAW == dlt) {
        g_datalink_header_length = 0;
    } else if (DLT_EN10MB == dlt || DLT_IEEE802 == dlt) {
        g_datalink_header_length = 14;
    } else if (DLT_PPP == dlt) {
        g_datalink_header_length = 4;
    } else if (DLT_LINUX_SLL == dlt) {
        g_datalink_header_length = 16;
    } else {
        fprintf(stderr, "unknown datalink typen");
        return -1;
    }

    struct bpf_program filter;
    if (pcap_compile(pd, &amp;filter, "tcp", 1, 0) != 0) {
        die("%s", pcap_geterr(pd));
    }
    if (pcap_setfilter(pd, &amp;filter) != 0) {
        die("%s", pcap_geterr(pd));
    }
    
    if (pcap_loop(pd, -1, packet_handler, NULL) != 0) {
        die("%s", pcap_geterr(pd));
    }

...
}

If you need the complete source code, please add the WeChat number (c17865354792)

运行结果

在这里插入图片描述Wireshark抓包展示效果

总结

在进行十六进制TCP数据包分析时,我们首先需要捕获网络流量,获取TCP数据包。这可以通过网络抓包工具(如Wireshark)实现。然后,对捕获到的数据包进行解析,提取出TCP头部各个字段和数据部分

Welcome to follow WeChat official account程序编码

原文地址:https://blog.csdn.net/chen1415886044/article/details/134744610

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_30058.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注