Java-计算机网络-3

1.10 介绍一下tcp的三次握手。

参考回答

1. 第一次握手：建立连接时，客户端发送syn包（syn=x）到服务器，并进入SYN_SENT状态，等待服务器确认；SYN：同步序列编号（Synchronize Sequence Numbers）。
2. 第二次握手：服务器收到syn包，必须确认客户的SYN（ack=x+1），同时自己也发送一个SYN包（syn=y），即SYN+ACK包，此时服务器进入SYN_RECV状态；
3. 第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=y+1），此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手。

1.11 介绍一下tcp的四次挥手。

参考回答

1. 客户端进程发出连接释放报文，并且停止发送数据。释放数据报文首部，FIN=1，其序列号为seq=u（等于前面已经传送过来的数据的最后一个字节的序号加1），此时，客户端进入FIN-WAIT-1（终止等待1）状态。 TCP规定，FIN报文段即使不携带数据，也要消耗一个序号。
2. 服务器收到连接释放报文，发出确认报文，ACK=1，ack=u+1，并且带上自己的序列号seq=v，此时，服务端就进入了CLOSE-WAIT（关闭等待）状态。TCP服务器通知高层的应用进程，客户端向服务器的方向就释放了，这时候处于半关闭状态，即客户端已经没有数据要发送了，但是服务器若发送数据，客户端依然要接受。这个状态还要持续一段时间，也就是整个CLOSE-WAIT状态持续的时间。
3. 客户端收到服务器的确认请求后，此时，客户端就进入FIN-WAIT-2（终止等待2）状态，等待服务器发送连接释放报文（在这之前还需要接受服务器发送的最后的数据）。
4. 服务器将最后的数据发送完毕后，就向客户端发送连接释放报文，FIN=1，ack=u+1，由于在半关闭状态，服务器很可能又发送了一些数据，假定此时的序列号为seq=w，此时，服务器就进入了LAST-ACK（最后确认）状态，等待客户端的确认。
5. 客户端收到服务器的连接释放报文后，必须发出确认，ACK=1，ack=w+1，而自己的序列号是seq=u+1，此时，客户端就进入了TIME-WAIT（时间等待）状态。注意此时TCP连接还没有释放，必须经过2∗∗MSL（最长报文段寿命）的时间后，当客户端撤销相应的TCB后，才进入CLOSED状态。
6. 服务器只要收到了客户端发出的确认，立即进入CLOSED状态。同样，撤销TCB后，就结束了这次的TCP连接。可以看到，服务器结束TCP连接的时间要比客户端早一些。

1.12 为什么需要四次挥手？

参考回答

1. 四次挥手示意图

   

2. 四次挥手过程

   （1）客户端向服务器发送FIN控制报文段（首部中的 FIN 比特被置位）；

   （2）服务端收到FIN，回复ACK。服务器进入关闭等待状态，发送FIN;

   （3）客户端收到FIN，给服务器回复ACK，客户端进入等待状态（进入“等待”，以确保服务器收到ACK真正关闭连接）;

   （4）服务端收到ACK，链接关闭。

3. 四次挥手原因

   ​ TCP协议是一种面向连接的、可靠的、基于字节流的运输层通信协议。TCP是全双工模式，这就意味着，当客户端发出FIN报文段时，只是表示客户端已经没有数据要发送了，客户端告诉服务器，它的数据已经全部发送完毕了；但是，这个时候客户端还是可以接受来自服务端的数据；当服务端返回ACK报文段时，表示它已经知道客户端没有数据发送了，但是服务端还是可以发送数据到客户端的；当服务端也发送了FIN报文段时，这个时候就表示服务端也没有数据要发送了，就会告诉客户端，我也没有数据要发送了，之后彼此就会愉快的中断这次TCP连接。

   ​ 简单地说，前 2 次挥手用于关闭一个方向的数据通道，后两次挥手用于关闭另外一个方向的数据通道。

1.13 为什么要有最后一次ACK？

参考回答

1. 三次握手示意图

   

2. 四次挥手过程

   （1）客户端发送一个SYN0给服务器（选择初始序列号，不携带任何数据）

   （2）服务器收到SYN0，回复SYN1和ACK（服务器分配缓存，选择自己初始序列号）

   （3）客户端收到SYN1、ACK，回复ACK（可以包含数据）

3. 为什么要有最后一次ACK

   ​ 客户端首先向服务器发送一个连接请求，但是可能这个连接请求走了远路，等了很长时间，服务器都没有收到，那么客户端可能会再次发送，此时服务器端收到并且回复SYN、ACK；在这个时候最先发送的那个连接请求到达服务器，那么服务器会回复一个SYN，ACK；但是客户端表示自己已经收到确认了，并不搭理这个回复，那么服务器可能陷入等待，如果这种情况多了，那么会导致服务器瘫痪，所以要发送第三个确认。

答案解析

1.14 说一说你对tcp抓包的理解。

参考回答

1. TCP抓包定义

   ​ tcp抓包是指通过抓取计算机访问Web网站过程抓到的数据包，分析验证TCP报文段的结构。可以用抓包工具进行抓包分析。

答案解析

​ 示例（wireshark抓包分析流程）：

​ Wireshark捕获的是网卡的网络包，当机器上有多块网卡的时候，需要先选择网卡。开始界面中的Interface List，即网卡列表，选择我们需要的监控的网卡。点击Capture Options，选择正确的网卡，然后点击"Start"按钮, 开始抓包。

​ 我们打开浏览器输入任意http网址，连接再关闭，比如：http://blog.csdn.net。然后，我们回到Wireshark界面，点击左上角的停止按键。查看此时Wireshark的抓包信息。在看抓包信息之前，先简单介绍下Wireshark界面的含义。其中，封包列表的面板中显示**编号、时间戳、源地址、目标地址、协议、长度，以及封包信息**。

​ 封包详细信息是用来查看协议中的每一个字段。各行信息分别对应TCP/IP协议的不同层级。以下图为例，分别表示：传输层、网络层、数据链路层、物理层，一共四层。如果有应用层数据会显示第五层，即一共会出现五层。

​ 每一层都有一个字段指向上一层，表明上一层是什么协议。这大概是因为发包的时候会在数据上依次加上应用层、传输层、网络层、链路层的头部，但是对方收到数据包后是从最底层（链路层）开始层层剥去头部解包的，所以在每层上有一个字段指向上层，表明上层的协议，对方就知道下一步该怎么解包了。以TCP/IP协议为例，下图中分别是：IPv4、TCP。由于建立TCP连接用不到应用层协议，所以传输层就没有相应的指明上层(应用层)的字段了。

​ 在了解Wireshark界面后，我们来分析TCP协议。这里有很多数据包，我们需要先过滤，添加对应的过滤条件。比如，添加了目标的ip地址和端口号：tcp and ip.addr==47.95.47.253 and tcp.port==53992，此时获取到的封包列表如下。

​ 在此之前，看下TCP/IP报文的格式。

根据上述报文格式我们可以将wireshark捕获到的TCP包中的每个字段