“ TCP/IP协议作为互联网的基础,在协议分析中不可或缺,本文介绍在对协议进行分析还原的过程中的一些要点,快速掌握协议还原的精髓。”
注意,本文比较枯燥乏味,若非需要了解TCP/IP协议相关信息,建议绕行。
TCP/IP协议是一个网络通信模型,以及一整个网络传输协议家族,是互联网基础协议。 该协议家族的两个核心协议:TCP和IP。
TCP/IP协议模型的四层结构如下图所示:
在Wireshark中,一个普通TCP数据报文的链路层对应MAC地址,网络层对应IP地址,传输层对应TCP端口,应用层对应数据体部分。
01
—
链路层
第一层包含源mac及目的mac,随着传输路径的变化会发生变化,在mac之后,是下层网络协议的类型,图中,下层为IP协议。
在协议解析中,需要关注的是图中type这个字段的内容。
02
—
网络层
在TCP/IP协议中,网络层主要内容为IP地址,根据IP头结构进行解析即可获得每项的内容。需要关注的是:
总长度 total length:为整个IP报文,从IP层到整个报文最后的长度。
分片标记 fragment flag:标识是否IP分片,如果IP分片的话要有分片处理过程。
传输层协议 transmission protocol:标记下层使用的协议,如TCP、UDP等,本文中为TCP协议。
源IP source ip:源IP地址。
目的IP destination ip:目的IP地址。
03
—
传输层
传输层协议用来保障传输的过程,对TCP而言,同样根据TCP头结构即可进行解析获得每项的内容。
TCP协议中,需要关注源及目的端口,它们与网络层的源及目的地址构成四元组,同一个数据流,必然拥有相同的四元组,当然,流的上下行,源与目的是按对组织的,在协议解析中,四元组是不可忽略的。
对TCP,使用当前报文序号及响应报文序号来保障协议的可靠性,对协议解析而言,我们需要使用报文序号及响应序号来进行报文排序,即通常说的TCP排序,在解析中,一般而言,单向排序即可解决问题。
当前报文序号即图中的sequence num,响应报文序号即acknowledge number,在同一个方向中sequence num加上传输的data的长度即为下一个报文的sequence num,即图中的next sequence num。另外,序号是相对与一条连接的第一个报文的相对值,两个方向独立编号。
04
—
应用层
应用层就是传输的具体内容,一般而言,就是需要解析的部分了。
对TCP承载的协议还原,切记,TCP排序及根据四元组建立会话会极大地提高解析效率。
长按进行关注。