实验六、TCP 协议分析实验报告

1．实验目的：

理解TCP报文首部格式和字段的作用，TCP连接的建立和释放过程，TCP数据传输过程中编号与确认的过程。

2．实验环境：

连网环境，可以是局域网，也可以是连入Internet的单机。

3．实验步骤：

(1)启动Etherel协议分析软件，并开始抓包。

(2)启动某个基于TCP的应用程序，例如连接某个FTP站点，或通过浏览器访问某个网页。

(3)等出现浏览的网页后停止数据包的捕获。

(4)出现协议分析界面，将filter 一栏填入tcp，则只显示TCP协议信息，通过此信息，可以看到TCP连接的三次握手过程和协商的初始的序列号，数据传输过程以及拆除连接的相应信息。

4．实验分析，回答下列问题

打开捕获文件tcp-ethereal-trace-1,通过捕获的数据包分析TCP建立连接的三次握手的过程，并将TCP建立连接过程中的三个报文填写下来。

（1）TCP建立连接时的三个报文，其报文首部与其他TCP报文有什么不同？

TCP建立时，需要三次握手，而每次握手首部需要有SYN发送标志位和ACK确认标志位来表明是否建立连接。

第一次握手:SYN=1，ACK=0

第二次握手:SYN=1，ACK=1

第三次握手:SYN=0，ACK=1

而以后的每个报文SYN都为0.

 （2）报文首部的OPTION字段的作用是什么？值为多少？

option字段:可选变长选项字段，表明本端所能接收的最大长度的报文段。

值为1460bytes。

（3）分析TCP数据传输阶段的前8个报文，将报文信息填入到表中

数据传送阶段第一个报文的序号字段值是否等于连接建立时第三个报文的序号？

相等。

(4)捕获一个拆除TCP连接的数据包,附上捕获截图,主要要包含拆除连接的数据包部分,分析TCP释放连接的过程，选择TCP释放连接过程当中的四个报文，将报文信息填在下表。

(5)总结实验过程中出现的问题,及解决方法。

 1、对于报文种类的识别有点模糊；

   解决方法：可以通过源地址和目标地址分析出是发送报文还是确认报文，即本地地址为发送报文，另一个为确认报文。

 2、一个发送报文，返回了好几个确认报文，对于这样不是很清楚；

   解决方法：通过对报文的详细分析，发现一个确认报文分成了好几个MSS进行返回，因而使得有几个确认报文。

 3、不会确认被确认报文序号

解决方法：根据TCP包中的Acknowedgement Numbber和next Sequence Number来判断；

第二篇：理解TCP 和FTP协议实验报告

理解TCP 和FTP协议实验报告

姓名：

学号：

班级：

实验目的：

1） 深入理解TCP协议的连接建立和释放的工作原理和通信过程

2） 理解FTP协议的工作过程

实验原理：

1） TCP协议工作原理

2） FTP协议工作原理

实验内容：

1） 用ftp命令登录校园网FTP服务器10.8.9.202（用户名：student，密码：student），下载test.txt文件

2） 通过Wireshark捕获FTP通信内容

3） 分析Wireshark抓取的每一个报文的功能

实验步骤：

1)  启动WireShark，设置抓包状态

2)  登录FTP服务器

C:\>ftp 10.8.9.202

Connected to 10.8.9.202.

220 Serv-U FTP Server v6.3 for WinSock ready...

User (10.8.9.202:(none)): student

331 User name okay, need password.

Password:

230 User logged in, proceed.

ftp> get test.txt

200 PORT Command successful.

150 Opening ASCII mode data connection for test.txt (55 Bytes).

226 Transfer complete.

ftp: 55 bytes received in 0.00Seconds 55000.00Kbytes/sec.

ftp> bye

221 Goodbye!

3) 把捕获的FTP工作过程产生的数据报存盘，文件名:ftp.pcap

实验结果分析：

服务器IP地址：10.8.9.202

客户端IP地址：172.16.16.31

客户端MAC地址：00-10-5c-ca-b5-3d

建立TCP连接-“三次握手”：

1   15:10:32.401649 172.16.16.31    10.8.9.202  TCP 1954 > ftp [SYN] Seq=0 Len=0 MSS=1460

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 30 91 4c 40 00 80 06 96 7f ac 10 13 1a 0a 08  .0.L@...........

0020   09 ca 07 a2 00 15 a3 6b 6e 37 00 00 00 00 70 02  .......kn7....p.

0030   40 00 56 c9 00 00 02 04 05 b4 01 01 04 02        @.V...........

这是请求建立TCP连接的报文“第一次握手”：

具体分析：00 d0 f8 c6 05 2b：目标主机物理地址     

00 10 5c ca b5 3d：源主机物理地址

08 00：IP协议                  

45：版本号和IP协议头文件长度为20字节

00：区分服务，一般情况下不使用这个字段

00 30：IP数据报总长度48字节    

 91 4c：标识字段

40 00：标志和片偏移字段，二进制为（01000000 00000000 00000000 00000000）

      可知MF=0，说明没有进行分片

80 60：生存时间字段和协议字段，生存时间为128，采用TCP协议为06

96 7f：首部检验和字段

ac 10 13 1a：源主机IP地址

0a 08 09 ca：目标主机IP地址

07 a2：源端口号为（1954）

00 15：目的端号为（21）

a3 6b 6e 37：序号，是一个初始序号。

00 00 00 00：4字节的确认号，由于ACK=0，所以无效。

70：首部长度为28字节

20：二进制为（00100000），其中URG=0：无紧急数据要发送。ACK=0，确认号无效。SYN=1，表示同步序号，有效。这时ACK=0且SYN=1，表明这是一个连接请求的报文段。FIN=0，没有设置，为1时表示释放连接。

40 00：窗口大小字段，为（16348）

56 c9：检验和字段

00 00：紧急指针，占两字节，无效，因为在上面中URG=0，所在无效。

02 04 05 b4：最大报文长度MMS，为1460个字节。

04 02：选择确认字段

2   15:10:32.402296 10.8.9.202  172.16.16.31    TCP ftp > 1954 [SYN, ACK] Seq=0 Ack=1 Win=16384 Len=0 MSS=1460

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 30 2d 8f 00 00 7c 06 3e 3d 0a 08 09 ca ac 10  .0-...|.>=......

0020   13 1a 00 15 07 a2 d7 3c 2f b4 a3 6b 6e 38 70 12  .......</..kn8p.

0030   40 00 4f c7 00 00 02 04 05 b4 01 01 04 02        @.O...........

这是请求建立TCP连接的报文“第二次握手”：TCP连接的响应报文：

具体分析：00 10 5c ca b5 3d：目标主机物理地址     

00 d0 f8 c6 05 2b：源主机物理地址

08 00：IP协议                 

45：版本号和IP协议头文件长度为20字节

00：区分服务，一般情况下不使用这个字段

00 30：IP数据报总长度48字节    

2d 8f：标识字段

00 00：标志和片偏移字段，二进制为（00000000 00000000 00000000 00000000）

      可知MF=0，说明没有进行分片

7c 06：生存时间字段和协议字段，生存时间为124，采用TCP协议为06

3e 3d：首部检验和字段

0a 08 09 ca：源主机IP地址

Ac 10 13 1a：目标主机IP地址

00 15：源端口号为（21）

07 a2：目的端号为（1954）

d7 3c 2f b4：序号，为自己建立一个初始序号。

a3 6b 6e 38：4字节的确认号，由于ACK=1，有效

70：首部长度为28字节

12：SYN和ACK字段都有效。二进制为（00010010），其中URG=0：无紧急数据要发送。ACK=1，确认号有效。SYN=1，表示同步序号，有效。这时ACK=1且SYN=1，表明这是一个建立连接的响应报文，则表示同意建立连接。FIN=0，没有设置，为1时表示释放连接。

40 00：窗口大小字段，为（16348）

4f c7：检验和字段

00 00：紧急指针，占两字节，无效，因为在上面中URG=0，所在无效。

02 04 05 b4：最大报文长度MMS，为1460个字节。

04 02：选择确认字段

3   15:10:32.402323 172.16.16.31    10.8.9.202  TCP 1954 > ftp [ACK] Seq=1 Ack=1 Win=17520 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 4d 40 00 80 06 96 86 ac 10 13 1a 0a 08  .(.M@...........

0020   09 ca 07 a2 00 15 a3 6b 6e 38 d7 3c 2f b5 50 10  .......kn8.</.P.

0030   44 70 78 1b 00 00                                Dpx...

这是请求建立TCP连接的报文“第三次握手”：

具体分析：00 d0 f8 c6 05 2b：目标主机物理地址     

00 10 5c ca b5 3d：源主机物理地址

08 00：IP协议                 

45：版本号和IP协议头文件长度为20字节

00：区分服务，一般情况下不使用这个字段

00 28：IP数据报总长度40字节    

 91 4d：标识字段

40 00：标志和片偏移字段，二进制为（01000000 00000000 00000000 00000000）

      可知MF=0，说明没有进行分片

80 60：生存时间字段和协议字段，生存时间为128，采用TCP协议为06

96 86：首部检验和字段

ac 10 13 1a：源主机IP地址

0a 08 09 ca：目标主机IP地址

07 a2：源端口号为（1954）

00 15：目的端号为（21）

a3 6b 6e 38：序号，它是前面已传过来请求连接时初始序号的最后一个字节的序号加1，初始序号为a3 6b 6e 37

d7 3c 2f b5：4字节的确认号，是等于上个报文中的序号加1。上个报文中的序号为d7 3c 2f b4

50：首部长度为20字节

10：二进制为（00010000），其中URG=0：无紧急数据要发送。ACK=1，确认号无效。SYN=0，表示不同步无效。这时ACK=1且SYN=0，表明这是一个连接请求的报文段。FIN=0，没有设置，为1时表示释放连接。

44 70：窗口大小字段，为（17520）

78 1b：检验和字段

00 00：紧急指针，占两字节，无效，因为在上面中URG=0，所在无效。

4   0.001680    10.8.9.202  172.16.16.31    FTP Response: 220 Serv-U FTP Server v6.3 for WinSock ready...

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 59 2d 90 40 00 7c 06 fe 12 0a 08 09 ca ac 10  .Y-.@.|.........

0020   13 1a 00 15 07 a2 d7 3c 2f b5 a3 6b 6e 38 50 18  .......</..kn8P.

0030   ff ff be 82 00 00 32 32 30 20 53 65 72 76 2d 55  ......220 Serv-U

0040   20 46 54 50 20 53 65 72 76 65 72 20 76 36 2e 33   FTP Server v6.3

0050   20 66 6f 72 20 57 69 6e 53 6f 63 6b 20 72 65 61   for WinSock rea

0060   64 79 2e 2e 2e 0d 0a                             dy.....、

FTP服务器的一个响应报文，报告窗口已准备就绪。

5   0.112489    172.16.16.31    10.8.9.202  TCP abr-api > ftp [ACK] Seq=1 Ack=50 Win=17471 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 4e 40 00 80 06 96 85 ac 10 13 1a 0a 08  .(.N@...........

0020   09 ca 07 a2 00 15 a3 6b 6e 38 d7 3c 2f e6 50 10  .......kn8.</.P.

0030   44 3f 78 1b 00 00                                D?x...

访问FTP服务器，返回ACK=50，SEQ=1，窗口大小为17471，长度为0的回答信息。

6   2.882280    172.16.16.31    10.8.9.202  FTP Request: USER student

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 36 91 4f 40 00 80 06 96 76 ac 10 13 1a 0a 08  .6.O@....v......

0020   09 ca 07 a2 00 15 a3 6b 6e 38 d7 3c 2f e6 50 18  .......kn8.</.P.

0030   44 3f 68 93 00 00 55 53 45 52 20 73 74 75 64 65  D?h...USER stude

0040   6e 74 0d 0a                                      nt..

输入登录时的用户名：为student。

7   2.883059    10.8.9.202  172.16.16.31    FTP Response: 331 User name okay, need password.

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 4c 2d 93 40 00 7c 06 fe 1c 0a 08 09 ca ac 10  .L-.@.|.........

0020   13 1a 00 15 07 a2 d7 3c 2f e6 a3 6b 6e 46 50 18  .......</..knFP.

0030   ff f1 0f 25 00 00 33 33 31 20 55 73 65 72 20 6e  ...%..331 User n

0040   61 6d 65 20 6f 6b 61 79 2c 20 6e 65 65 64 20 70  ame okay, need p

0050   61 73 73 77 6f 72 64 2e 0d 0a                    assword...

用户名已存在并准备好了，需要用户输入密码。

8   3.016668    172.16.16.31    10.8.9.202  TCP abr-api > ftp [ACK] Seq=15 Ack=86 Win=17435 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 50 40 00 80 06 96 83 ac 10 13 1a 0a 08  .(.P@...........

0020   09 ca 07 a2 00 15 a3 6b 6e 46 d7 3c 30 0a 50 10  .......knF.<0.P.

0030   44 1b 78 0d 00 00                                D.x...

访问FTP服务器，返回ACK=86，SEQ=15，窗口大小为17435，长度为0的回答信息。

9   7.388134    172.16.16.31    10.8.9.202  FTP Request: PASS student

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 36 91 51 40 00 80 06 96 74 ac 10 13 1a 0a 08  .6.Q@....t......

0020   09 ca 07 a2 00 15 a3 6b 6e 46 d7 3c 30 0a 50 18  .......knF.<0.P.

0030   44 1b 5f 96 00 00 50 41 53 53 20 73 74 75 64 65  D._...PASS stude

0040   6e 74 0d 0a                                      nt..

输入登录时的用户密码：为student。

10  7.389121    10.8.9.202  172.16.16.31    FTP Response: 230 User logged in, proceed.

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 46 2d 96 40 00 7c 06 fe 1f 0a 08 09 ca ac 10  .F-.@.|.........

0020   13 1a 00 15 07 a2 d7 3c 30 0a a3 6b 6e 54 50 18  .......<0..knTP.

0030   ff e3 f7 7b 00 00 32 33 30 20 55 73 65 72 20 6c  ...{..230 User l

0040   6f 67 67 65 64 20 69 6e 2c 20 70 72 6f 63 65 65  ogged in, procee

0050   64 2e 0d 0a                                     d...

用户名为student的用户正在登录，正在处理之中。

11  7.523081    172.16.16.31    10.8.9.202  TCP abr-api > ftp [ACK] Seq=29 Ack=116 Win=17405 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 52 40 00 80 06 96 81 ac 10 13 1a 0a 08  .(.R@...........

0020   09 ca 07 a2 00 15 a3 6b 6e 54 d7 3c 30 28 50 10  .......knT.<0(P.

0030   43 fd 77 ff 00 00                                C.w...

访问FTP服务器，返回ACK=116，SEQ=29，窗口大小为17405，长度为0的回答信息。

12  13.950860   172.16.16.31    10.8.9.202  FTP Request: PORT 172,16,19,26,7,163

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 41 91 53 40 00 80 06 96 67 ac 10 13 1a 0a 08  .A.S@....g......

0020   09 ca 07 a2 00 15 a3 6b 6e 54 d7 3c 30 28 50 18  .......knT.<0(P.

0030   43 fd e2 72 00 00 50 4f 52 54 20 31 37 32 2c 31  C..r..PORT 172,1

0040   36 2c 31 39 2c 32 36 2c 37 2c 31 36 33 0d 0a     6,19,26,7,163..

源主机IP为172.16.16.31的主机向FTP发出请求信号

13  13.951685   10.8.9.202  172.16.16.31    FTP Response: 200 PORT Command successful.

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 46 2d 98 40 00 7c 06 fe 1d 0a 08 09 ca ac 10  .F-.@.|.........

0020   13 1a 00 15 07 a2 d7 3c 30 28 a3 6b 6e 6d 50 18  .......<0(.knmP.

0030   ff c9 ff 2b 00 00 32 30 30 20 50 4f 52 54 20 43  ...+..200 PORT C

0040   6f 6d 6d 61 6e 64 20 73 75 63 63 65 73 73 66 75  ommand successfu

0050   6c 2e 0d 0a                                      l...

从FTP服务器得到了成功的响应

14  13.952614   172.16.16.31    10.8.9.202  FTP Request: RETR test.txt

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 37 91 54 40 00 80 06 96 70 ac 10 13 1a 0a 08  .7.T@....p......

0020   09 ca 07 a2 00 15 a3 6b 6e 6d d7 3c 30 46 50 18  .......knm.<0FP.

0030   43 df e4 9b 00 00 52 45 54 52 20 74 65 73 74 2e  C.....RETR test.

0040   74 78 74 0d 0a                                   txt..

源主机请求向FTP服务器请求下载test.txt文件。

15  13.954046   10.8.9.202  172.16.16.31    TCP ftp-data > abr-secure [SYN] Seq=0 Win=65535 Len=0 MSS=1460

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 30 2d 99 40 00 7c 06 fe 32 0a 08 09 ca ac 10  .0-.@.|..2......

0020   13 1a 00 14 07 a3 d0 63 1c 7c 00 00 00 00 70 02  .......c.|....p.

0030   ff ff bb 8c 00 00 02 04 05 b4 01 01 04 02        ..............

FTP服务器正向目标主机传送数据，窗口大小为65535，最长报文段长度为1460字节。

16  13.954088   172.16.16.31    10.8.9.202  TCP abr-secure > ftp-data [SYN, ACK] Seq=0 Ack=1 Win=17520 Len=0 MSS=1460

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 30 91 55 40 00 80 06 96 76 ac 10 13 1a 0a 08  .0.U@....v......

0020   09 ca 07 a3 00 14 ef 0d 5a fe d0 63 1c 7d 70 12  ........Z..c.}p.

0030   44 70 2c ff 00 00 02 04 05 b4 01 01 04 02        Dp,...........

FTP正在传送数据时，ACK=1，SEQ=0，窗口大小为17520。

17  13.954154   10.8.9.202  172.16.16.31    FTP Response: 150 Opening ASCII mode data connection for test.txt (55 Bytes).

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 69 2d 9a 40 00 7c 06 fd f8 0a 08 09 ca ac 10  .i-.@.|.........

0020   13 1a 00 15 07 a2 d7 3c 30 46 a3 6b 6e 7c 50 18  .......<0F.kn|P.

0030   ff ba 05 5a 00 00 31 35 30 20 4f 70 65 6e 69 6e  ...Z..150 Openin

0040   67 20 41 53 43 49 49 20 6d 6f 64 65 20 64 61 74  g ASCII mode dat

0050   61 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 66 6f 72  a connection for

0060   20 74 65 73 74 2e 74 78 74 20 28 35 35 20 42 79   test.txt (55 By

0070   74 65 73 29 2e 0d 0a                             tes)...

正在打开ASCII模式数据与test.txt文件建立连接

18  13.954778   10.8.9.202  172.16.16.31    TCP ftp-data > abr-secure [ACK] Seq=1 Ack=1 Win=65535 Len=0

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 28 2d 9b 40 00 7c 06 fe 38 0a 08 09 ca ac 10  .(-.@.|..8......

0020   13 1a 00 14 07 a3 d0 63 1c 7d ef 0d 5a ff 50 10  .......c.}..Z.P.

0030   ff ff 9e 33 00 00 00 00 00 00 00 00              ...3........

FTP正在传送数据时，ACK=1，SEQ=１，窗口大小为65535。

19  13.954792   10.8.9.202  172.16.16.31    FTP-DATA    FTP Data: 55 bytes

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 5f 2d 9c 40 00 7c 06 fe 00 0a 08 09 ca ac 10  ._-.@.|.........

0020   13 1a 00 14 07 a3 d0 63 1c 7d ef 0d 5a ff 50 18  .......c.}..Z.P.

0030   ff ff dc 99 00 00 48 75 6e 61 6e 20 41 67 72 69  ......Hunan Agri

0040   63 75 6c 74 75 72 61 6c 20 55 6e 69 76 65 72 73  cultural Univers

0050   69 74 79 0d 0a ba fe c4 cf c5 a9 d2 b5 b4 f3 d1  ity.............

0060   a7 0d 0a 30 31 32 33 34 35 36 37 38 39           ...0123456789

FTP传送的数据大小为55个字节。

20  13.955352   10.8.9.202  172.16.16.31    TCP ftp-data > abr-secure [FIN, ACK] Seq=56 Ack=1 Win=65535 Len=0

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 28 2d 9d 40 00 7c 06 fe 36 0a 08 09 ca ac 10  .(-.@.|..6......

0020   13 1a 00 14 07 a3 d0 63 1c b4 ef 0d 5a ff 50 11  .......c....Z.P.

0030   ff ff 9d fb 00 00 00 00 00 00 00 00              ............

FTP正在传送数据时，ACK=1，SEQ=56，窗口大小为65535。

21  13.955371   172.16.16.31    10.8.9.202  TCP abr-secure > ftp-data [ACK] Seq=1 Ack=57 Win=17465 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 56 40 00 80 06 96 7d ac 10 13 1a 0a 08  .(.V@....}......

0020   09 ca 07 a3 00 14 ef 0d 5a ff d0 63 1c b5 50 10  ........Z..c..P.

0030   44 39 59 c2 00 00                                D9Y...

FTP正在传送数据时，ACK=57，SEQ=１，窗口大小为17465。

22  13.956846   172.16.16.31    10.8.9.202  TCP abr-secure > ftp-data [FIN, ACK] Seq=1 Ack=57 Win=17465 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 57 40 00 80 06 96 7c ac 10 13 1a 0a 08  .(.W@....|......

0020   09 ca 07 a3 00 14 ef 0d 5a ff d0 63 1c b5 50 11  ........Z..c..P.

0030   44 39 59 c1 00 00                                D9Y...

FTP正在传送数据时，ACK=57，SEQ=１，窗口大小为17465。

23  13.957359   10.8.9.202  172.16.16.31    TCP ftp-data > abr-secure [ACK] Seq=57 Ack=2 Win=65535 Len=0

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 28 2d 9e 40 00 7c 06 fe 35 0a 08 09 ca ac 10  .(-.@.|..5......

0020   13 1a 00 14 07 a3 d0 63 1c b5 ef 0d 5b 00 50 10  .......c....[.P.

0030   ff ff 9d fa 00 00 00 00 00 00 00 00              ............

FTP正在传送数据时，ACK=2，SEQ=57，窗口大小为65535。

24  14.132524   172.16.16.31    10.8.9.202  TCP abr-api > ftp [ACK] Seq=69 Ack=211 Win=17310 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 58 40 00 80 06 96 7b ac 10 13 1a 0a 08  .(.X@....{......

0020   09 ca 07 a2 00 15 a3 6b 6e 7c d7 3c 30 87 50 10  .......kn|.<0.P.

0030   43 9e 77 d7 00 00                                C.w...

FTP正在传送数据时，ACK=211，SEQ=69，窗口大小为17310。

25  14.133132   10.8.9.202  172.16.16.31    FTP Response: 226 Transfer complete.

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 40 2d 9f 40 00 7c 06 fe 1c 0a 08 09 ca ac 10  .@-.@.|.........

0020   13 1a 00 15 07 a2 d7 3c 30 87 a3 6b 6e 7c 50 18  .......<0..kn|P.

0030   ff ba ec a4 00 00 32 32 36 20 54 72 61 6e 73 66  ......226 Transf

0040   65 72 20 63 6f 6d 70 6c 65 74 65 2e 0d 0a        er complete...

文件传送完成。

26  14.332794   172.16.16.31    10.8.9.202  TCP abr-api > ftp [ACK] Seq=69 Ack=235 Win=17286 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 59 40 00 80 06 96 7a ac 10 13 1a 0a 08  .(.Y@....z......

0020   09 ca 07 a2 00 15 a3 6b 6e 7c d7 3c 30 9f 50 10  .......kn|.<0.P.

0030   43 86 77 d7 00 00                                C.w...

FTP数据传送完成后，ACK=235，SEQ=69，窗口大小为17286，长度为0。

27  15.972041   172.16.16.31    10.8.9.202  FTP Request: QUIT

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 2e 91 5a 40 00 80 06 96 73 ac 10 13 1a 0a 08  ...Z@....s......

0020   09 ca 07 a2 00 15 a3 6b 6e 7c d7 3c 30 9f 50 18  .......kn|.<0.P.

0030   43 86 d0 15 00 00 51 55 49 54 0d 0a              C.....QUIT..

输入退出命令。

28  15.972766   10.8.9.202  172.16.16.31    FTP Response: 221 Goodbye!

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 36 2d a0 40 00 7c 06 fe 25 0a 08 09 ca ac 10  .6-.@.|..%......

0020   13 1a 00 15 07 a2 d7 3c 30 9f a3 6b 6e 82 50 18  .......<0..kn.P.

0030   ff b4 cc c1 00 00 32 32 31 20 47 6f 6f 64 62 79  ......221 Goodby

0040   65 21 0d 0a                                      e!..

用户输入退出命令goodbye。

释放TCP连接-“四次握手”：

29  15:18:09.374938 172.16.16.31    10.8.9.202  TCP 1954 > ftp [FIN, ACK] Seq=75 Ack=249 Win=17272 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 5b 40 00 80 06 96 78 ac 10 13 1a 0a 08  .(.[@....x......

0020   09 ca 07 a2 00 15 a3 6b 6e 82 d7 3c 30 ad 50 11  .......kn..<0.P.

0030   43 78 77 d0 00 00                                Cxw...

这是释放TCP连接的“第一次握手”，进入终止等待状态，等待对方的确认。

具体分析：00 d0 f8 c6 05 2b：目标主机物理地址     

00 10 5c ca b5 3d：源主机物理地址

08 00：IP协议                 

45：版本号和IP协议头文件长度为20字节

00：区分服务，一般情况下不使用这个字段

00 28：IP数据报总长度40字节    

 91 5b：标识字段

40 00：标志和片偏移字段，二进制为（01000000 00000000 00000000 00000000）

      可知MF=0，说明没有进行分片

80 60：生存时间字段和协议字段，生存时间为128，采用TCP协议为06

96 78：首部检验和字段

ac 10 13 1a：源主机IP地址

0a 08 09 ca：目标主机IP地址

07 a2：源端口号为（1954）

00 15：目的端号为（21）

a3 6b 6e 82：序号为75，是一个初始序号。

d7 3c 30 ad：4字节的确认号，为249。

50：首部长度为20字节

11：二进制为（00010001），其中URG=0：无紧急数据要发送。ACK=1，确认号无效。SYN=0，表示同步序号，有效。这时ACK=1且SYN=0，FIN=1，表明释放连接，此报文段的发送方的数据已发送完毕，并要求释放运输连接。

43 78：窗口大小字段，为（17272）

77 d0：检验和字段

00 00：紧急指针，占两字节，无效，因为在上面中URG=0，所在无效。

30  15:18:09.375478 10.8.9.202  172.16.16.31    TCP ftp > 1954 [ACK] Seq=249 Ack=76 Win=65460 Len=0

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 28 2d a1 40 00 7c 06 fe 32 0a 08 09 ca ac 10  .(-.@.|..2......

0020   13 1a 00 15 07 a2 d7 3c 30 ad a3 6b 6e 83 50 10  .......<0..kn.P.

0030   ff b4 bb 93 00 00 00 00 00 00 00 00              ............

这是释放TCP连接的“第二次握手”，进入关闭状态。

具体分析：00 10 5c ca b5 3d：目标主机物理地址     

00 d0 f8 c6 05 2b：源主机物理地址

08 00：IP协议                 

45：版本号和IP协议头文件长度为20字节

00：区分服务，一般情况下不使用这个字段

00 28：IP数据报总长度40字节    

2d a1：标识字段

40 00：标志和片偏移字段，二进制为（01000000 00000000 00000000 00000000）

      可知MF=0，说明没有进行分片

7c 06：生存时间字段和协议字段，生存时间为124，采用TCP协议为06

fe 32：首部检验和字段

0a 08 09 ca：源主机IP地址

ac 10 13 1a：目标主机IP地址

00 15：源端口号为（21）

07 a2：目的端号为（1954）

d7 3c 30 ad：序号，为自己建立一个初始序号，为249。

a3 6b 6e 83：4字节的确认号为76，等于上一人释放报文的序号（a3 6b 6e 82）加1。

50：首部长度为20字节

10：SYN和ACK字段都有效。二进制为（00010000），其中URG=0：无紧急数据要发送。ACK=1，确认号有效。SYN=0，表示无同步序号，无效。这时ACK=1且FIN=0。

ff b4：窗口大小字段，为（65460）

bb 93：检验和字段

31  15:18:09.376067 10.8.9.202  172.16.16.31    TCP ftp > 1954 [FIN, ACK] Seq=249 Ack=76 Win=65460 Len=0

0000   00 10 5c ca b5 3d 00 d0 f8 c6 05 2b 08 00 45 00  ..\..-.....+..E.

0010   00 28 2d a2 40 00 7c 06 fe 31 0a 08 09 ca ac 10  .(-.@.|..1......

0020   13 1a 00 15 07 a2 d7 3c 30 ad a3 6b 6e 83 50 11  .......<0..kn.P.

0030   ff b4 bb 92 00 00 00 00 00 00 00 00              ............

这是释放TCP连接的“第三次握手”，进入到“最后确认”状态，等待对方的确认。

具体分析：00 10 5c ca b5 3d：目标主机物理地址     

00 d0 f8 c6 05 2b：源主机物理地址

08 00：IP协议                 

45：版本号和IP协议头文件长度为20字节

00：区分服务，一般情况下不使用这个字段

00 28：IP数据报总长度40字节    

2d a2：标识字段

40 00：标志和片偏移字段，二进制为（01000000 00000000 00000000 00000000）

      可知MF=0，说明没有进行分片

7c 06：生存时间字段和协议字段，生存时间为124，采用TCP协议为06

fe 31：首部检验和字段

0a 08 09 ca：源主机IP地址

ac 10 13 1a：目标主机IP地址

00 15：源端口号为（21）

07 a2：目的端号为（1954）

d7 3c 30 ad：序号，为自己建立一个初始序号，为249。

a3 6b 6e 83：4字节的确认号为76，此时该报文必须重复上次已发送过的确认号（a3 6b 6e 82）再加1。

50：首部长度为20字节

11：SYN和ACK字段都有效。二进制为（00010001），其中URG=0：无紧急数据要发送。ACK=1，确认号有效。SYN=0，表示无同步序号，无效。这时ACK=1且FIN=1。

ff b4：窗口大小字段，为（65460）

bb 92：检验和字段

32  15:18:09.376100 172.16.16.31    10.8.9.202  TCP 1954 > ftp [ACK] Seq=76 Ack=250 Win=17272 Len=0

0000   00 d0 f8 c6 05 2b 00 10 5c ca b5 3d 08 00 45 00  .....+..\..-..E.

0010   00 28 91 5c 40 00 80 06 96 77 ac 10 13 1a 0a 08  .(.\@....w......

0020   09 ca 07 a2 00 15 a3 6b 6e 83 d7 3c 30 ae 50 10  .......kn..<0.P.

0030   43 78 77 cf 00 00                                Cxw...

这是释放TCP连接的“第四次握手”，进入到“时间等待”状态。

具体分析：00 d0 f8 c6 05 2b：目标主机物理地址     

00 10 5c ca b5 3d：源主机物理地址

08 00：IP协议                 

45：版本号和IP协议头文件长度为20字节

00：区分服务，一般情况下不使用这个字段

00 28：IP数据报总长度40字节    

 91 5c：标识字段

40 00：标志和片偏移字段，二进制为（01000000 00000000 00000000 00000000）

      可知MF=0，说明没有进行分片

80 60：生存时间字段和协议字段，生存时间为128，采用TCP协议为06

96 77：首部检验和字段

ac 10 13 1a：源主机IP地址

0a 08 09 ca：目标主机IP地址

07 a2：源端口号为（1954）

00 15：目的端号为（21）

a3 6b 6e 83：序号，是一个初始序号为76

d7 3c 30 ae：4字节的确认号为250

50：首部长度为20字节

10：二进制为（00010000），其中URG=0：无紧急数据要发送。ACK=1，确认号有效。SYN=0，表示无同步序号，无效。这时ACK=1时表示释放连接。

43 78：窗口大小字段，为（17272）

77 cf：检验和字段

00 00：紧急指针，占两字节，无效，因为在上面中URG=0，所在无效。