【25软考网工】第五章（6）TCP和UDP协议、流量控制和拥塞控制、重点协议与端口

一、TCP和UDP协议

传输层主要有两个协议：TCP和UDP

1. TCP和UDP报文格式

1）TCP传输控制协议 TCP特点: TCP是面向连接的协议，一般用于传输数据量较少且对可靠性要求高的应用，如文件传输。 TCP应用: Web、电子邮件等。 2）UDP用户数据报协议 UDP特点: UDP是一种不可靠的、无连接的协议，用于传输数据量大、可靠性要求不高但要求速度快的场景，如音视频传输。 UDP应用: 域名系统(DNS)、视频应用、IP语音(VoIP)等。

3）TCP与UDP对比

4）TCP和UDP类比

• TCP: 面向连接，喝水慢，不易漏水，安全性高。
• UDP: 面向无连接，喝水快，易漏水，安全性低。

5）应用案例

例题1#可靠传输服务层

• 审题过程: 在OSI参考模型中，哪一层在物理线路之上提供可靠的数据传输服务？
• 答案: B,数据链路层
• 解析: 物理链路之上是数据链路层，OSI模型的数据链路层有很多可靠性保障机制。提供端到端的可靠传输才是传输层实现的。

例题2#提供可靠传输功能层

• 审题过程: 在OSI参考模型中，负责提供可靠的端到端数据传输的是哪一层的功能？
• 答案:C, 传输层
• 解析: 端到端的可靠传输服务是由传输层提供的，而节点到节点或点到点的可靠传输服务是由数据链路层提供的。

6）TCP报文格式

1.源端口和目的端口（16位）

• 源端口和目的端口: TCP报文的前两个字段，各占16位，取值范围为[0,65535]，最大端口号为65535。
• 知名端口: 小于1024的端口一般为知名端口，用于特定服务，
  • 如http网页使用80端口，https安全网页使用443端口,telnet使用23号端口。
• 普通端口则是指范围在1024~49151之间的端口号，通常用于一些特定的应用程序或服务，但并不像知名端口那样被广泛使用。常见的一些应用程序可能会使用这些端口。
• 除了知名端口和普通端口，还有动态/私有端口，范围在49152~65535之间，用于暂时分配给客户端应用程序使用。

2.序列号和确认号(32位）

• 序列号: 32位，每发送一个字节的数据，序列号加一。
• 序列号范围: 不重复的情况下，最多有2^32个序列号，即最多可标识4GB的数据。

3.窗口（16位）

• 窗口: 用于流量控制。

4.偏移值（4位）

• 偏移值: 描述TCP报头的长度或数据部分从哪开始，与IP报头的ihl类似，取值范围0-15，但只使用5-15，单位为四个字节。
• TCP报头长度: 可扩展，最小20字节，最长60字节（类似于IP报头），IP+TCP报头最小为40字节（20B+20B)，最大为120字节（60B+60B）。

5.六个标志位 用于TCP的三次握手/四次挥手：

• SYN：建立连接
• SYN+ACK：对方回复
• ACK：再次发送建立连接
• FIN：断开连接

TCP头部中的六个标志位如下： 1. SYN（Synchronize）：建立连接时使用，用于发起一个连接请求。 2. ACK（Acknowledgment）：确认标志，用于对接收到的数据进行确认。 3. FIN（Finish）：结束标志，用于释放连接，表示发送方已经完成发送数据的任务。 4. RST（Reset）：重置标志，用于强制关闭连接，通常表示连接出现错误，必须释放连接，然后再重新建立连接。比如路由器上RST为1时表示恢复出厂设置 5. PSH（Push）：数据推送标志，接收端将PUSH位置1，通知接收方立即将收到的数据交给应用层处理，而不是等待缓冲区填满再交付。

6. URG（Urgent）：紧急指针标志，表示紧急数据在数据流中的位置，通常和紧急指针字段一起使用，用于紧急数据的传输。为1时表示有紧急数据需要发送，一般是带外网管数据。紧急指针指向网管数据所在位置

例题3#TCP报文紧急标志

• 审题过程: 若有带外数据需要传送，TCP报文中哪个标志字段置“1”？
• 答案: C ,URG
• 解析: URG=1时，表明紧急指针字段有效，有紧急数据需要传送。

例题4#URG指针作用

• 审题过程: TCP协议中，URG指针的作用是什么？
• 答案: C , 表明带外数据在TCP段中的位置
• 解析: URG指针与URG标志位不同，URG标志位表示有紧急数据，而URG指针指出紧急数据在TCP段中的具体位置。

例题5#TCP序号范围

• 审题过程: 主机A向主机B发送一个长度为L字节的文件，假设TCP的MSS为1460字节，则在TCP的序号不重复使用的前提下，L的最大值是多少？
• 答案: C, 2^32，即4GB
• 解析:20字节IP头部，20字节TCP头部，数据部分为1460，相加一共是1500字节，TCP 封装在以太网中。TCP协议的序号为32位，序号范围为0到2^32，但序号0也算一个序号，因此能表示的字节数是2^32字节，即4GB。
• 注意：题目问的是长度，不是TCP序号的最大值

7）UDP报文格式

UDP相较于TCP做了很大精简，省略诸多控制字段。UDP报头长度固定为8字节。

• 源端口/目的端口（16位）
• 长度（16位）：2^16，表示的范围为[0,65535]
• UDP数据部分长度：需要减去8字节（报头）的开销，最大为65527B

例题6#UDP头部字节

• 审题过程: UDP头部的大小为多少字节？
• 答案: A , 8字节
• 解析: UDP报文格式相对TCP做了很大精简，头部大小为固定的8字节。
• 注意：IP报头20-60字节（默认20字节），TCP报头20-60字节（默认20字节）UDP报头8字节。

例题7#UDP最大负载

• 审题过程: UDP段可容纳的最大负载是多少字节？
• 答案: A , 65527字节
• 解析: UDP报文长度字段为16位，可表示[0,65535]字节，减去8字节头部，UDP最大负载是65527字节。

2.知识小结

二、TCP三次握手

1. TCP三次握手建立连接

本质过程：本质是打招呼过程，类比A向B传东西前确认："现在有空吗？"→"有空"→"好的，准备发数据" 报文交互： 第一步：主机A发送SYN=1的报文（序列号seq=0） 第二步：主机B回复SYN=1,ACK=1的报文（seq=0,ack=1） 第三步：主机A发送ACK=1的报文（seq=1,ack=1） 特殊特性：实际上第三次握手时已可携带数据

1）标志位 SYN作用：同步序列号，建立连接请求 ACK作用：确认收到报文 组合形式：

• SYN+ACK组合表示"确认收到连接请求并同意建立"
• 单独ACK表示"确认收到数据"

2）序列号

确认号含义：

• 确认收到前序报文（如ack=1表示确认seq=0的报文）
• 请求下一序号报文（ack=1同时表示请求seq=1的报文）

递推规则：确认号始终等于对方序列号+1（ack=x+1） 3）状态 主动端状态：

• CLOSED→SYN_SENT（发送SYN后）
• SYN_SENT→ESTABLISHED（收到SYN+ACK并回复ACK后）

被动端状态：

• LISTEN→SYN_RCVD（收到SYN后）
• SYN_RCVD→ESTABLISHED（收到ACK后）

超时处理：SYN_SENT状态未收到响应会返回CLOSED

2.TCP四次挥手断开连接

完成数据传输，需要断开连接

• 第一步：主机A发送FIN 、ACK
• 第二步：主机B收到后回复ACK
• 第三部：主机B发送FIN、ACK请求断开连接
• 第四步：主机A发送ACK

第一步和第二步完成，此时A断开连接 第三步和第四步完成，此时B断开连接 注意：

• 第二步和第三步的序列号可以一样（双方都断开连接）也可以不一样（一方数据还在发送，等待发送完成再断开）

1）例题#连接释放报文段标志

• 关键考点：FIN标志在连接释放中的作用
• 解题要点：释放连接必须将FIN置1
• 正确答案：A（FIN置1）

2）例题#TCP连接建立请求后状态跳变

• 状态转换路径：SYN_SENT→CLOSED（超时未响应）
• 干扰项分析：TIME_WAIT是断开连接状态，LISTEN是服务端初始状态
• 正确答案：A

3）例题#netstat命令含义判断

• 端口类型判断：2011/2038/2052都是临时端口（>1024）
• 状态对应关系：
  • ESTABLISHED表示已完成三次握手
  • TIME_WAIT表示正在断开连接
• 安全连接标志：443端口对应HTTPS协议
• 正确答案：C

4）例题#FIN扫描目标主机判断

• 扫描技术对比：
  • 完全连接扫描（TCP全连接扫描）：完成三次握手（效率低）
  • SYN扫描（TCP半连接扫描）：收到ACK表示端口开放，TCP建立连接的第三步无法正常完成
  • FIN扫描：开放端口无响应，关闭端口返回RST
• 行为特征：活动主机对FIN扫描保持静默
• 正确答案：C

3. TCP序列号及确认号

1）控制报文

关联机制：PC1的seq与PC2的ack相互关联，确认号ack总等于对方seq+1（如seq=10时ack=11） 第二步返回的ack的双重含义： ①已收到ack−1及之前的数据 （如图中PC1发送的ack=10） ②请求发送seq=ack的新数据（PC2收到后回复的ack=11） 三次握手特性：控制报文典型场景是三次握手，此时尚未传输实际数据，仅进行连接准备

2）数据报文

此时已完成三次握手 字节计算规则：每个序列号对应1字节数据，ack值=最后接收的seq+数据字节数（如seq=201发100字节，则ack=301） 数据范围表示：seq值表示数据起始编号，数据结束编号为seq+数据字节数−1（如seq=800发150字节，则数据编号为800-949） 确认机制：接收方通过ack值确认已接收数据的最大编号（如ack=950表示949及之前数据已接收，请求对方发送编号seq为950的数据）

3）例题#TCP序列号及确认号计算

• 关键条件：①ASCII字符C占1字节 ②初始seq=42，ack=79，data=C
• 解题步骤：
  • 主机B的seq应等于主机A上次的ack值（79）
  • 确认号计算：ack=收到seq+数据字节数=42+1=43
• 易错点：忽略ASCII字符的字节长度特性，误认为需要随机生成序列号
• 答案：(36)C (37)B

4）例题#发送数据计算

• 关键条件：①初始seq=2000②FIN段seq=8001
• 计算原理：
  • 第三次握手开始携带数据，起始seq=2001
  • 有效数据seq范围为2001-8000（FIN段8001不含数据）
  • 总字节数=8000-2000=6000
• 记忆技巧：FIN段的seq 值减初始seq即为总字节数（8001-2000-1=6000）
• 答案：A

5）例题#TCP连接seq及ack值

• 标志位规则：
  • 仅第一次握手ACK=0，其余所有报文ACK=1
  • 第二次握手SYN=1且ACK=1
• 序号计算：
  • 确认号ack等于对方seq+1（79→80）
  • 序列号seq独立生成（示例中为40）
• 典型错误：混淆SYN和ACK标志位的组合方式
• 答案：(63)D (64)C

4.知识小结

三、流量控制

• 目的: 防止发送方发送速度过快，导致接收方处理不过来，造成丢包重传，浪费网络资源。
• TCP流量控制机制: 使用可变大小的滑动窗口。

1. TCP滑动窗口机制

实现原理：

• 可变窗口机制：接收方通过TCP报头中的窗口字段（16位）实时告知发送方自己的剩余接收缓冲区大小。
• 动态协商：窗口大小在通信过程中可动态调整（如网络拥塞或接收方处理能力变化时）。

工作原理：

• 在三次握手建立连接时，双方会告知彼此的窗口大小。
• 发送方根据接收方的窗口大小控制发送数据量。
• 接收方处理数据后，窗口大小增加，通知发送方可继续发送数据。

具体实现过程: 1.三次握手初始化

• 建立连接时，双方通过三次握手交换初始窗口大小（如示例中主机B告知A窗口为3）。
• 接收方的窗口值 = 当前接收缓冲区剩余容量（单位：字节）。

2.发送数据

• 发送方根据接收方通告的窗口大小（如窗口=3），发送不超过该容量的数据段（如发送3个数据包）。

3.接收方反馈

• 接收方处理完数据后，通过ACK确认报文告知发送方：
  • 已确认的数据位置（ACK号）。
  • 新的剩余窗口大小（更新后的窗口字段值）。

4.窗口动态调整

• 发送方根据最新窗口值调整后续发送量：
  • 若窗口增大（如从3→5），发送方可多发数据。
  • 若窗口减小（如从3→1），发送方需减少发送量。
  • 若窗口为0，发送方暂停发送，直到接收方重新通告非零窗口。

2.例题

1）例题:流量控制协议

• 答案: D. 可变大小的滑动窗口协议
• 解析: TCP使用的流量控制协议是可变大小的滑动窗口协议。

2）例题:流量控制协议及窗口字段相关

• 答案: B. 可变大小的滑动窗口协议, C. 窗口
• 解析:
  • TCP使用的流量控制协议是可变大小的滑动窗口协议。
  • TCP头中与之相关的字段是窗口字段，用于流量控制。

四、拥塞控制

1. TCP拥塞控制

有了流量控制可以调节发送端和接收端的节奏，为什么还要有拥塞控制？ 流量控制：在A、B 两个端点进行。 拥塞控制：在A、B和所有网络节点中进行。

• 目的: 除了调节发送端和接收端的节奏外，还需考虑中间网络的拥塞情况。
• 范围: 在发送端、接收端及所有网络节点中进行。

1）慢开始与拥塞避免

慢开始:

• 初始拥塞窗口小，指数增长发送数据量。
• 达到门限值（ssthresh）后，转为拥塞避免。

拥塞避免:

• 拥塞窗口线性增长。
• 直到发生超时（网络拥塞）后：
  • 拥塞窗口重置为1，从1开始发；
  • 门限值设为拥塞时窗口大小（24）的一半（12）。

2）快重传与快恢复

快重传:

• 发送方收到3个重复ACK时，立即执行快重传算法，重传未确认报文段，不必等待超时。

快恢复:

• 门限值设为当前拥塞窗口（24）的一半（12）。
• 拥塞窗口从门限值开始，线性增长。

优点：效率高 总结：

• 快重传
  • 当发送方连续收到3个重复的ACK报文时,直接重传对方尚未收到的报文段
  • 不必等待那个报文段设置的重传计时器超时
• 快恢复
  • 当发送方连续收到3个冗余ACK时,执行“乘法减小”算法
  • 把ssthresh设置为当前cwnd的一半，然后cwnd从ssthresh开始使用拥塞避免算法

3）例题:快速重传触发条件

• 答案: D. 收到3个冗余ACK
• 解析: 在TCP拥塞控制机制中，快速重传的触发条件是收到3个冗余ACK。

4)例题:快恢复新窗口值计算

• 答案: A. 2000字节
• 解析: 当拥塞窗口为4000字节时，快恢复会将新的拥塞窗口设置为当前窗口的一半，即4000/2=2000字节。

5)例题:TCP拥塞控制说法

• 答案: D. 当网络出现拥塞时，慢启动门限值恢复为初始值（错误）
• 解析: 出现拥塞时，拥塞窗口恢复为初始值，门限值设置为发生拥塞时的一半。

6)例题:慢启动拥塞控制

• 答案: B. 6
• 解析: 拥塞窗口为8时发生拥塞，门限值设为4。经过4轮成功应答后，拥塞窗口依次为1-2-4-5，最终为6。1-2-4指数增长，4-5线性增长。

7)例题:cwnd的定义

• 答案: D. cwnd值存放在本地
• 解析: 拥塞窗口(cwnd)是TCP拥塞控制措施，存放在本地，根据网络拥塞程度动态变化。

8)例题:网络控制参数

• 答案: D. 拥塞窗口大小
• 解析: 拥塞窗口大小不随报文传送到对端实体，是发送方本地维护的状态变量。

9)例题:慢启动计算

• 答案: B. 2000
• 解析: TCP最大段长为1000字节，慢启动第一轮后拥塞窗口指数增长扩大到2000字节，而接收方窗口为5000字节，因此可发送的最大数据为两者最小值，即2000字节。

2.知识小结

五、重点协议与端口号总结

1. 端口号

源端口分配规则: 客户端使用的源端口由系统随机分配，必须是当前未使用且大于1024的端口号 目的端口规则: 服务器端使用知名端口号，如telnet服务固定使用23端口 典型示例: PC1访问PC2时，源端口为随机值231029，目的端口为telnet的23端口

1）例题:Web访问端口使用情况

• 核心考点: 源端口必须大于1024的随机端口，目的端口通常是80/8080/443
• 选项分析:
  • A选项源端口为80（知名端口）不可能出现
  • B/C/D选项源端口均符合大于1024的要求
• 易错点: 容易误选D因看似与Web无关，实际考察端口分配规则
• 答案: A
• 扩展知识: 网站可自定义使用大于1024的非知名端口（如4000）

2. 网络协议

邮件协议三剑客:

• SMTP: 发送邮件，TCP/UDP 25端口（通常用TCP）
• POP3: 接收邮件，TCP 110端口
• IMAP: 客户端与服务器端邮件同步，TCP 143端口

1）基于 TCP 的协议（可靠传输）

助记： TCP协议多为需可靠传输的服务（如文件、邮件、网页），端口号多为两位数或常见端口。

2）基于 UDP 的协议（高效传输）

助记：“扔石头蛋蛋”对应：

• RIP（UDP 520）
• SNMP（UDP 161）
• TFTP（UDP 69）
• DNS（UDP 53）
• DHCP（UDP 67/68）

3）特殊说明

1. DNS：默认用UDP（查询响应快），但区域传输（Zone Transfer）或大包时用TCP。
2. ICMP：属于网络层协议（如Ping、Traceroute），与TCP/UDP无关，直接封装在IP中。
3. OSPF：是网络层路由协议（协议号89），直接封装在IP中。

4）协议层次:

• 以太网→数据链路层
• ICMP/IP→网络层
• TCP/UDP→传输层
• 应用层协议最多（需记忆各协议端口号）

3.主流 网络协议魔力图

TCP协议组:

• FTP(20/21): 文件传输（数据/控制端口）
• SSH(22): 加密安全登录
• Telnet(23): 明文远程登录
• HTTP(80)/HTTPS(443): 网页传输
• BGP(179): 边界网关协议
• RDP（2289）:远程桌面

UDP协议组

• R→RIP(520)路由协议信息
• S→SNMP(161/162)简单网络管理协议
• T→TFTP(69)简单文件测试需要
• D→DNS(53)
• D→DHCP(67/68)
• IKE(500) Internet密钥交换协议

物理层重点:

• 千兆/万兆以太网规范
• WiFi标准（802.11系列）的速率和频段

网络层协议号:

• ICMP→1
• IGMP→2 Internet组管理协议
• ESP→50（加密）
• AH→51（认证）
• OSPF→89

4. 应用案例

1）例题:使用TCP协议的协议

• 选项分析:
  • A(ICMP): 直接封装在IP层
  • B(IP): 可用TCP/UDP承载
  • D(SNMP): UDP协议
  • C(Email): 包含SMTP/POP3/IMAP均为TCP协议
• 答案: C
• 记忆要点: 邮件三协议必须使用TCP传输

2）例题:SNMP协议说法判断

• 选项分析:
  • A: 正确，SNMP实现统一网络管理
  • B: 错误，SNMP基于UDP（非TCP）
  • C: 错误，v2c未重新定义安全机制
  • D: 错误，v3不是IPv6专用
• 版本特性:
  • v3主要增强安全性（非IPv6支持）
  • UDP传输效率高但可靠性差
• 答案: A

5.知识小结