编者按

    上篇我们搭建一个最简单的网络环境《用协议分析工具学习TCP/IP(二)》我们分别介绍了查找服务器、建立连接，下面我们来讨论数据传输和终止连接。
　　
　　第三组 数据传输
　　
　　1）下图显示的是57-60行的数据 　

　　图14
　　
　　2）解释数据包
　　
　　这四行数据是数据传输过程中一个发送一个接收的过程。
　　
　　前文说过，TCP提供一种面向连接的、可靠的字节流服务。当接收端收到来自发送端的信息时，接受端要发送一条应答信息，表示收到此信息。数据传送时被TCP分割成认为最适合发送的数据块。一般以太网在传送时TCP将数据分为1460字节。也就是说数据在发送方被分成一块一块的发送，接受端收到这些数据后再将它们组合在一起。
　　
　　57行显示1号机给208号机发送了大小为1514字节大小的数据，注意我们前文讲过数据发送时是层层加协议头的，1514字节=14字节以太网头 + 20字节IP头 + 20字节TCP头 + 1460字节数据
　　
　　58行显示的应答信号ACK为：1781514222，这个数是57行得SEQ序号1781512762加上传送的数据1460，208号机将这个应答信号发给1号机说明已收到发来的数据。
　　
　　59、60行显示的是继续传送数据的过程。
　　
　　这个过程就像我向张三借书，借给我几本我要说：“我已借了你几本了。”，他说：“知道了”。
　　
　　3）头信息
　　
　　图15-1和图15-2分别是57行和58行的头信息，解释参考第二组。
　　
　　　
　　
　　第四组 终止连接
　　
　　1）下图显示的是93-96行的数据
　　
　　

　
　　
　　图16
　　
　　2）解释数据包
　　
　　93-96是两机通讯完关闭的过程。
　　
　　建立一个连接需要三次握手，而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工（即数据在两个方向上能同时传递），每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。
　　
　　本例文件下载完后，关闭浏览器终止了与服务器的连接图16的93-96行显示的就是终止连接所经过4次握手过程。
　　
　　93行数据显示的是关闭浏览器后，如图17-1所示208号机将FIN置1连同序号(SEQ)987695574发给1号机请求终止连接。
　　
　　94行数据和图17-2显示1号机收到FIN关闭请求后，发回一个确认，并将应答信号设置为收到序号加1，这样就终止了这个方向的传输。
　　
　　95行数据和图17-3显示1号机将FIN置1连同序号(SEQ)1773196056发给208号机请求终止连接。
　　
　　96行数据和图17-4显示208号机收到FIN关闭请求后，发回一个确认，并将应答信号设置为收到序号加1，至此TCP连接彻底关闭。
　　
　　3）头信息 　

　　
　　
　　六、扫描实例
　　
　　下面我们再举个ping的实例，测试某台计算机是否通，最常用的命令就是ping命令。Ping 一台计算机，出现如图18所示界面就是通，出现如图19所示界面就是不通，不通有两种情况，一是该计算机不存在或没接网线，二是该计算机安装了防火墙并设置为不允许ping。如何区别这两种情况呢？下面还是利用iris跟踪上述情况。
　　

　　图18
　　

　　
　　图19
　　

　　如图20是ping通的情况。

　　如图21是ping不通该计算机不存在的情况。从图可以看出ARP请求没有回应。
　　
　　如图22是ping不通，该计算机存在但安装了防火墙的情况。从图可以看出ARP请求有回应。但ICMP请求没回应。
　　
　　从分析可以看出虽然后两种情况的表面现象是一样的，但实质确是截然相反的。通过头信息可以清楚的看出PING是
　　
　　ICMP协议来完成的，通讯过程是在第三层完成的，没有用到第四层的TCP协议。
　　

　　
　　图20

　　图21　

　　图22
　　
　　七、后记
　　
　　本文不是个教程，许多问题都没有涉及到，比如TCP重发、IP分解、路由等，只是提出个学习思路，希望能起到抛砖引玉的作用。TCP/IP协议族是非常复杂的，但只要理解了还是不难学的。最后向感兴趣的朋友提个问题：分别telnet三台机器，一台正常23端口开放，一台网是通的但23端口没开放，另外一台是不存在的。用我们学过的方法跟踪一下，比较三个的不同。其实这就是用TCP扫描判断对方机器是否在线的一种方法。