TCP头结构

  TCP协议头最少20个字节，包括以下的区域（由于翻译不禁相同，文章中给出相应的英文单词）：
   TCP源端口(Source Port)：16位的源端口其中包含初始化通信的端口。源端口和源IP地址的作用是标示报问的返回地址。
   TCP目的端口(Destination port)：16位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。
   TCP序列号（序列码,Sequence　Number）：32位的序列号由接收端计算机使用，重新分段的报文成最初形式。当SYN出现，序列码实际上是初始序列码（ISN），而第一个数据字节是ISN+1。这个序列号（序列码）是可以补偿传输中的不一致。
   TCP应答号(Acknowledgment   Number)：32位的序列号由接收端计算机使用，重组分段的报文成最初形式。，如果设置了ACK控制位，这个值表示一个准备接收的包的序列码。
   数据偏移量(HLEN)：4位包括TCP头大小，指示何处数据开始。
   保留(Reserved)：6位值域，这些位必须是0。为了将来定义新的用途所保留。
   标志(Code Bits)：6位标志域。表示为：紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是：URG、ACK、PSH、RST、SYN、FIN。
   窗口(Window)：16位，用来表示想收到的每个TCP数据段的大小。
   校验位(Checksum)：16位TCP头。源机器基于数据内容计算一个数值，收信息机要与源机器数值 结果完全一样，从而证明数据的有效性。
   优先指针（紧急,Urgent  Pointer）：16位，指向后面是优先数据的字节，在URG标志设置了时才有效。如果URG标志没有被设置，紧急域作为填充。加快处理标示为紧急的数据段。
   选项(Option)：长度不定，但长度必须以字节。如果 没有 选项就表示这个一字节的域等于0。
   填充：不定长，填充的内容必须为0，它是为了数学目的而存在。目的是确保空间的可预测性。保证包头的结合和数据的开始处偏移量能够被32整除，一般额外的零以保证TCP头是32位的整数倍。
＜附图是用SNIFFER抓的一个包头结构＞

        00 50 07 45 9b d6 43        3c 47 fd 37 50 50 18
        ff 1f 05 a5 00 00 48         54 54 50 2f 31 2e 31
        20 32 30 30 20 4f 4b         0d 0a 53 65 72 76 65
        72 3a 20 4d 69 63 72         6f 73 6f 66 74 2d 49
        49 53 2f 35 2e 30 0d         0a 44 61 74 65 3a 20
        57 65 64 2c 20 31 32         20 4e 6f 76 20 32 30
        30 33 20 30 33 3a 33         37 3a 35 35 20 47 4d
        54 0d 0a 43 6f 6e 6e         65 63 74 69 6f 6e 3a
        20 63 6c 6f 73 65 0d         0a 48 54 54 50 2f 31
        2e 31 20 32 30 30 20         4f 4b 0d 0a 53 65 72
        76 65 72 3a 20 4d 69         63 72 6f 73 6f 66 74
        2d 49 49 53 2f 35 2e         30 0d 0a 50 72 61 67
        6d 61 3a 20 6e 6f 2d         63 61 63 68 65 0d 0a
        43 6f 6e 74 65 6e 74         2d 74 79 70 65 3a 20
        74 65 78 74 2f 70 6c         61 69 6e 3b 63 68 61
        72 73 65 74 3d 67 62         32 33 31 32 0d 0a 0d
        0a

解析：
源端口：00　50　　　　目的端口：07　45　　序列号：9b d6 43　3c
应答号：47 fd 37 50　  数据偏移量：50　　　保留：
标志位：18　　　　　　　窗口：ff　1f             校验位：05 a5
优先指针：00　00　　　　选项：　　　　　　　填充：（余下的205字节为TCP数据）

      标志控制功能 URG：紧急标志
      紧急(The urgent pointer) 标志有效。紧急标志置位，
    ACK：确认标志 确认编号(Acknowledgement  Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1，Figure：1)为下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。
　　PSH：推标志
      该标志置位时，接收端不将该数据进行队列处理，而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时，该标志总是置位的。
    RST：复位标志 复位标志有效。用于复位相应的TCP连接。
    SYN：同步标志 同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端(一般是客户 端)的初始序列编号。在这里，可以把TCP序列编号看作是一个范围从0到4，294，967，295的32位计数器。通过TCP连接交换的数据中每一个字 节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。
　　FIN：结束标志
  　　带有该标志置位的数据包用来结束一个TCP回话，但对应端口仍处于开放状态，准备接收后续数据。服务端处于监听状态，客户端用于建立连接请求的数据包(IP packet)按照TCP/IP协议堆栈组合成为TCP处理的分段(segment)。
    分析报头信息： TCP层接收到相应的TCP和IP报头，将这些信息存储到内存中。
    检查TCP校验和(checksum)：标准的校验和位于分段之中(Figure：2)。如果检验失败，不返回确认，该分段丢弃，并等待客户端进行重传。
　　查找协议控制块(PCB{})：TCP查找与该连接相关联的协议控制块。如果没有找到，TCP将该分段丢弃并返回RST。(这就是TCP处理没有端口监听情况下的机制)
       如果该协议控制块存在，但状态为关闭，服务端不调用connect()或listen()。该分段丢弃，但不返回RST。客户端会尝试重新建立连接请求。
　 　建立新的socket：当处于监听状态的socket收到该分段时，会建立一个子socket，同时还有socket{}，tcpcb{}和pub{} 建立。这时如果有错误发生，会通过标志位来拆除相应的socket和释放内存，TCP连接失败。如果缓存队列处于填满状态，TCP认为有错误发生，所有的 后续连接请求会被拒绝。这里可以看出SYN Flood攻击是如何起作用的。
     丢弃：如果该分段中的标志为RST或ACK，或者没有SYN标志，则该分段丢弃。并释放相应的内存。
     发送序列变量
       SND.UNA ： 发送未确认
       SND.NXT ： 发送下一个
       SND.WND ： 发送窗口
       SND.UP ： 发送优先指针
       SND.WL1 ： 用于最后窗口更新的段序列号
       SND.WL2 ： 用于最后窗口更新的段确认号
       ISS ： 初始发送序列号
　   接收序列号
       RCV.NXT ： 接收下一个
       RCV.WND ： 接收下一个
       RCV.UP ： 接收优先指针
       IRS ： 初始接收序列号
     当前段变量
        SEG.SEQ ： 段序列号
        SEG.ACK ： 段确认标记
        SEG.LEN ： 段长
        SEG.WND ： 段窗口
        SEG.UP ： 段紧急指针
        SEG.PRC ： 段优先级
     CLOSED表示没有连接，各个状态的意义如下：
        LISTEN ： 监听来自远方TCP端口的连接请求。
        SYN-SENT ： 在发送连接请求后等待匹配的连接请求。
        SYN-RECEIVED ： 在收到和发送一个连接请求后等待对连接请求的确认。
        ESTABLISHED ： 代表一个打开的连接，数据可以传送给用户。
        FIN-WAIT-1 ： 等待远程TCP的连接中断请求，或先前的连接中断请求的确认。
        FIN-WAIT-2 ： 从远程TCP等待连接中断请求。
        CLOSE-WAIT ： 等待从本地用户发来的连接中断请求。
        CLOSING ： 等待远程TCP对连接中断的确认。
        LAST-ACK ： 等待原来发向远程TCP的连接中断请求的确认。
        TIME-WAIT ： 等待足够的时间以确保远程TCP接收到连接中断请求的确认。
        CLOSED ： 没有任何连接状态。
        TCP连接过程是状态的转换，促使发生状态转换的是用户调用：OPEN，SEND，RECEIVE，CLOSE，ABORT和STATUS。传送过 来的数据段，特别那些包括以下标记的数据段SYN，ACK，RST和FIN。还有超时，上面所说的都会时TCP状态发生变化。
　  序列号：请注意，我们在TCP连接中发送的字节都有一个序列号。因为编了号，所以可以确认它们的收到。对序列号的确认是累积性的。TCP必须进行的序列号比较操作种类包括以下几种：
　     ①决定一些发送了的但未确认的序列号。
  　   ②决定所有的序列号都已经收到了。
       ③决定下一个段中应该包括的序列号。
     对于发送的数据TCP要接收确认，确认时必须进行的：
        SND.UNA = 最老的确认了的序列号。
        SND.NXT = 下一个要发送的序列号。
        SEG.ACK = 接收TCP的确认，接收TCP期待的下一个序列号。
        SEG.SEQ = 一个数据段的第一个序列号。
        SEG.LEN = 数据段中包括的字节数。
        SEG.SEQ+SEG.LEN-1 = 数据段的最后一个序列号。
     如果一个数据段的序列号小于等于确认号的值，那么整个数据段就被确认了。而在接收数据时下面的比较操作是必须的：
        RCV.NXT = 期待的序列号和接收窗口的最低沿。
        RCV.NXT+RCV.WND：1 = 最后一个序列号和接收窗口的最高沿。
        SEG.SEQ = 接收到的第一个序列号。
        SEG.SEQ+SEG.LEN：1 = 接收到的最后一个序列号