Wireshark实验——TCP
TCP
传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793 定义。TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。 原则上,TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。——百度百科
TCP 协议给使用者提供了两种服务,分别是面向连接的服务和可靠的数据传输服务,我们简单介绍一下。简单来说面向连接的含义是客户机和服务器之间需要建立连接,在位于应用层的数据开始交互之前,TCP 协议首先要先让客户机和服务器进行一次握手。这么做相当于告知彼此接下来需要进行数据的交互,请双方做好准备,具体的实现方式为双方在传输层交互信息。握手阶段结束之后,就能够建立起 TCP 连接,双方应用程序的数据交互完毕之后,还需要切断这个连接。
接下来再看看何谓可靠的数据传输服务,即双方的数据交互在 TCP 协议的保障下,彼此发出的数据能够无差别、按照正确顺序传递给对方。即 TCP 会将发送方通过套接字传出的字节流,在保证字节不发生丢失和出现多余的情况下,将字节流交付给接收方的套接字。
由于 TCP 的知识内容较多,这里不过多搬运资料。下面总结一下 TCP 的特点:
- 面向连接的服务:通信双方发送数据前必须建立连接;
- 点对点:一个发送方,一个接收方;
- 流水线机制:TCP 的拥塞控制机制,设置窗口尺寸;
- 发送方和接收方都有缓存;
- 全双工:同一个连接传输双向数据
- 拥有流量控制机制
捕获从计算机到远程服务器的批量 TCP 传输
首先使用 Wireshark 来获取文件从计算机到远程服务器的 TCP 传输的数据包内容。通过访问一个网页,在网页上输入您计算机上储存的文件名称,然后使用 HTTP POST 方法将文件传输到 Web 服务器,并在此期间运行 Wireshark 以获取从计算机发送和接收的 TCP 区段的内容。执行如下操作:
- 在电脑上保存一个 ASCII 档案文件:
2. 打开 http://gaia.cs.umass.edu/wireshark-labs/TCP-wireshark-file1.html :
3. 使用此表单中的“选择文件”按钮上传文件:
4. 启动 Wireshark 并开始数据包捕获:
5. 返回浏览器,按 “Upload alice.txt file” 按钮将文件上传到 gaia.cs.umass.edu 服务器:
6.停止 Wireshark 数据包捕获:
干扰巨大,我还是用现成的包来分析吧。
跟踪包的初步观察
在过滤器指定窗口中输入 “tcp” 过滤 Wireshark 视窗中显示的数据包:
可以应该看到的是计算机和 gaia.cs.umass.edu 之间的一系列 TCP 和 HTTP 讯息,首先是看到包含 SYN 讯息的初始三次握手。
接下来有 HTTP POST 讯息。
在 Wireshark 显示的 Info 列中有不少“[重新组装的 PDU 的 TCP 段]”,以指示此 TCP 区段包含属于上层协议讯息的数据(这里是 HTTP)。
还有 gaia.cs.umass.edu 返回到您的计算机的 TCP ACK 区段。
回答以下问题:
- 将文件传输到 gaia.cs.umass.edu 的客户端计算机(源)使用的 IP 地址和 TCP 端口号是什么?
IP 地址:192.168.1.102
TCP 端口号:1161
2. gaia.cs.umass.edu 的 IP 地址是什么? 在哪个端口号上发送和接收此连接的 TCP 区段?
IP 地址:128.119.245.12
接收连接的端口号:80
现在我们关注 TCP 而不是 HTTP,因此更改 Wireshark 的“捕获数据包列表”视窗,以便显示有关包含 HTTP 讯息的 TCP 区段的信息。要让 Wireshark 执行此操作,选择 Analyze-> Enabled Protocols。
然后取消勾选 HTTP 框,并选择确定。
这些是计算机和 gaia.cs.umass.edu 之间发送的一系列 TCP 区段。
TCP Basics
回答下列问题:
- 用于在客户端计算机和 gaia.cs.umass.edu 之间启动 TCP 连接的 TCP SYN 区段的序列号是什么?将区段标识为 SYN 区段的区段有什么功能?
序列号为 0,功能是开始三次握手,主机发送 SYN 请求服务器建立连接,这是三次握手的第一步。
2. gaia.cs.umass.edu 发送给客户端计算机以回复 SYN 的 SYNACK 区段的序列号是多少?
序列号为 0。
SYNACK 区段中的 Acknowledgment 栏位的值是多少?
Acknowledgment 栏位的值是 1。
Gaia.cs.umass.edu 是如何确定此 Acknowledgment 的数值的?在将区段标识为 SYNACK 区段的区段在连线中有什么功能?
Ack 字段用于表示确认字段中的值是有效的,功能是说明服务器成功接收了我们发出的连接请求,并发送 SYN-ACK 确认报文。
3. 包含 HTTP POST 命令的 TCP 区段的序列号是多少?
序列号为 1,其中 PSH 表示有数据传输。
4. 将包含 HTTP POST 的 TCP 区段视为 TCP 连接中的第一个区段。前六个 TCP 区段的长度是多少?在这个 TCP 连线中前 6 个 TCP 区段的序列号是什么(包括包含 HTTP POST 的段)?每区段发送的时间是什么时候?收到的每个区段的 ACK 是什么时候?鉴于发送每个 TCP 区段的时间与收到确认的时间之间的差异,六个区段中每个区段的 RTT 值是多少?收到每个 ACK 后,EstimatedRTT 值是什么?假设第一个 EstimatedRTT 的值等于第一个区段的测量 RTT。
- EstimatedRTT 运算公式
EstimatedRTT = (1 - a) × EstimatedRTT + a × SampleRTT
其中 a 使用推荐值 0.125。
区段一:
长度:565
序列号:1
发送时间:2004 年 8 月 21 日 21:44:20.596858000
RTT:0.027460000 seconds
EstimatedRTT = RTT = 0.027460000 seconds
区段二:
长度:1460
序列号:566
发送时间:2004 年 8 月 21 日 21:44:20.612118000
RTT:0.035557000 seconds
EstimatedRTT = 0.875 × 0.027460000 + 0.125 × 0.035557000 = 0.028472125 seconds
区段三:
长度:1460
序列号:2026
发送时间:2004 年 8 月 21 日 21:44:20.624407000
RTT:0.070059000 seconds
EstimatedRTT = 0.875 × 0.028472125 + 0.125 × 0.070059000 = 0.033670484 seconds
区段四:
长度:1460
序列号:3486
发送时间:2004 年 8 月 21 日 21:44:20.625071000
RTT:0.114428000 seconds
EstimatedRTT = 0.875 × 0.033670484 + 0.125 × 0.114428000 = 0.043765173 seconds
区段五:
长度:1460
序列号:4946
发送时间:2004 年 8 月 21 日 21:44:20.647786000
RTT:0.139894000 seconds
EstimatedRTT = 0.875 × 0.043765173 + 0.125 × 0.139894000 = 0.055781277 seconds
区段六:
长度:1460
序列号:6406
发送时间:2004 年 8 月 21 日 21:44:20.648538000
RTT:0.189645000 seconds
EstimatedRTT = 0.875 × 0.055781277 + 0.125 × 0.189645000 = 0.072514242 seconds
5. 对于整个跟踪包,收到的最小可用缓冲区空间量是多少?缺少接收器缓冲区空间是否会限制发送方传送 TCP 区段?
对于服务器而言,收到的最小可用缓冲区空间量为 6780。
对于主机而言,收到的最小可用缓冲区空间量为 5840。
缺少接收器缓冲区空间会限制发送方传送 TCP 区段,这是因为 TCP 的流量控制服务,能够消除发送方使接收方缓存溢出的可能性,使得发送方的发送速率与接收方应用程序的读取速率相匹配。实现的方式是滑动窗口协议,具体可参考后文附带的资料。
6. 在跟踪文件中是否有重传的区段?
检查数据包的时间序列:
因为序列号呈增大趋势,因此没有重传。
7. 接收器通常在 ACK 中确认多少数据?是否可以识别接收方每隔一个接收到的区段才发送确认的情况?
(这个回答难以保证正确,欢迎纠错)接收器通常在 ACK 中确认序列号,可以确认,根据 ACK 序列号的顺序来推测。
8. TCP 连接的吞吐量(每单位时间传输的?节数)是多少?如何计算这个值?
平均吞吐量 = 传输数据的比特数 F ÷ 接收方接收所有数据所用时间 T
首先看看传输数据的比特数 F = 164090 bytes
再看看接收方接收所有数据所用时间 T = 5.297341000 seconds
吞吐量 = 164090 ÷ 5.297341000 = 30.975917918064 Kb/s
TCP 拥塞控制
现在检查从客户端服务器的每单位时间发送的数据量,从 Wireshark 窗口中的原始数据计算这些数值。
- 每个点代表一个发送的 TCP 区段,绘制区段的序列号与发送的时间,堆叠在一起的一组点表示发送方背靠背发送的一系列数据包。使用时序图(Stevens)查看从客户端发送到 gaia.cs.umass.edu 服务器的区段的序列号与时间关系图。您能否确定 TCP 的慢启动阶段的开始和结束位置,以及拥塞避免接管的位置?
慢启动的原理是:连接开始时,发送速率呈指数型增长。因此 TCP 开始发送的速率很慢,但是慢启动阶段增长很快。
如图所示,慢启动阶段的开始肯定是在第一个 TCP 区段发出去的时候,也就是分组 5 发送的时候。
结束位置是什么时候?观察到这样的指数型增长的速率在分组 23 处卡壳了,说明这个时候发生了拥塞,进入拥塞避免阶段。
这个区域就是拥塞避免区段。
2. 评论测量数据与我们在文本中研究的 TCP 的理想化行为的不同之处。
慢启动是 TCP 在拥塞控制方面做的努力之一,但是对于一些数据量较小的小文件,在网络畅通的情况下发送非常快,甚至可能在慢启动结束之前就已经发送完毕。这个时候慢启动反而来制约了文件的快速发送,从而影响了效率。
参考资料
《计算机网络 自顶向下方法》 [美] James F.Kurose,Keith W.Ross 著,陈鸣 译,机械工业出版社
TCP
滑动窗口协议
一篇带你读懂TCP之“滑动窗口”协议