一、TCP报文头部简介

       

  ●源、目标端口号字段:占16比特。TCP协议通过使用"端口"来标识源端和目标端的应用进程。端口号可以使用0到65535之间的任何数字。在收到服务请求时,操作系统动态地为客户端的应用程序分配端口号。在服务器端,每种服务在"众所周知的端口"(Well-Know Port)为用户提供服务。 

  ●顺序号字段:占32比特。用来标识从TCP源端向TCP目标端发送的数据字节流,它表示在这个报文段中的第一个数据字节。 

  ●确认号字段:占32比特。只有ACK标志为1时,确认号字段才有效。它包含目标端所期望收到源端的下一个数据字节。 

  ●头部长度字段:占4比特。给出头部占32比特的数目。没有任何选项字段的TCP头部长度为20字节;最多可以有60字节的TCP头部。

  ●标志位字段(U、A、P、R、S、F):占6比特。各比特的含义如下:

    ◆URG:紧急指针(urgent pointer)有效。

    ◆ACK:确认序号有效。

    ◆PSH:接收方应该尽快将这个报文段交给应用层。

    ◆RST:重建连接。

    ◆SYN:发起一个连接。

    ◆FIN:释放一个连接。

  ●窗口大小字段:占16比特。此字段用来进行流量控制。单位为字节数,这个值是本机期望一次接收的字节数。

  ●TCP校验和字段:占16比特。对整个TCP报文段,即TCP头部和TCP数据进行校验和计算,并由目标端进行验证。

  ●紧急指针字段:占16比特。它是一个偏移量,和序号字段中的值相加表示紧急数据最后一个字节的序号。  

  ●选项字段:可选字段。包括"窗口扩大因子"、"时间戳"等选项。

 

二、DNS报文首部

      

  标识ID:16bit,有发出DNS请求的客户端生成,对应的DNS响应报文中也要置同样的ID。

  标志字段:16bit,被划分为如下的若干字段:

      

    ◆QR:0表示查询报文,1表示响应报文

    ◆Opcode:通常值为0(标准查询),其他值为1(反向查询)和2(服务器状态请求)。

    ◆AA:表示授权回答(authoritative answer).

    ◆TC:表示可截断的(truncated)

    ◆RD:表示期望递归

    ◆RA:表示可用递归

    ◆Rcode:返回码,通常为0(NoError)和3(NXDomain)等。

 

三、TCP协议承载DNS报文的时候,为什么DNS报文头部前面会多出两个字节的长度字段??

  如下图抓包所示:

1、TCP报文

 

2、DNS报文

 

如上图所示,DNS报文的标识ID字段前面,多出了两个字节的DNS报文长度字段?UDP协议承载的DNS报文就没有这两个字段。

很奇怪,这是何解??

 

 posted on 2014-10-23 17:09  MerlinJ  阅读(3155)  评论(2编辑  收藏  举报