第一卷 PortReporter助你上網更安全

序

不要以為隻有專業的大軟件才可以追蹤木馬的蹤跡，微軟的工具軟件PortReporter就可以完成對本機網絡通訊進行記錄和分析的功能，她不僅掃描計算機目前正在打開的TCP和UDP端口，而且可以跟蹤記錄TCP和UDP端口變化過程，比如木馬悄悄打開的端口或者其他用戶遠程登錄你的計算機上傳一些亂七八糟的文件，所做的一切都被PortReporter詳細的記錄下了，通過分析日誌就一目了然了。即使你使用不同的帳號登錄計算機，PortReporter依然忠實的記錄所有使用者的帳號和登錄後所有網絡通訊作為。日誌是以文本文件的格式保存的，用記事本就可以打開。

一、安裝和卸載PortReporter

PortReporter可以安裝在MicrosoftWindowsServer2003,MicrosoftWindowsXP,orMicrosoftWindows2000操作係統上，不要提Windows98，微軟公司已經不再提供對Windows98的技術支持，雖然微軟公司依然提供對Windows2000的技術支持，但是PortReporter在2000上不能充分發揮她的效能。在WindowsServer2003和基於WindowsXP內核技術的計算機上，這個服務可以提供多種功能：監視正在使用的端口，端口對應的進程，這個進程是應用程序還是係統的服務，已經該進程打開的模塊，還有使用者的帳號等，而在2000係列操作係統上，這個服務隻記錄什麼時候哪些端口被使用。這個隻有153K大的軟件可以從微軟的網站上免費下載：

圖1

下載下來的是一個自解壓的EXE文件，還原後得到4個文件如圖2中顯示。

圖2

安裝時隻需要執行其中的Pr-Setup.exe文件就可以了，通過這個程序來安裝PortReporter服務，Pr-Setup.exe安裝過程重要做了兩項工作：

一是增加下麵的注冊表項:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\PortReporter

再是安裝PortReporter服務，使用戶在控製台中能夠控製該服務的啟動和停止。

Pr-Setup.exe有2個參數-D和-U

-D

允許用戶把PortReporter安裝到指定目錄，比如你可以將PortReporter安裝到d:\tools\portreporter\下就使用這個參數。如果不帶任何參數直接允許Pr-Setup.exe那麼PortReporte安裝在drive:\ProgramFiles\PortReporter目錄中。

圖3顯示的是默認安裝時的過程

圖3

* -U執行pr-setup.exe-u就可以卸載PortReporter。

二、配置PortReporter服務

安裝完成後PortReporter服務並不立即起作用，要運行它就必須手工啟動這個服務。打開管理工具中的服務對話框，如圖4所示啟動服務，服務啟動之後沒有任何的提示，其實這個時候它已經在記錄了。

圖4

2個小技巧：啟動服務時，如果不使用任何參數，日誌文件被放在%systemroot%\System32\LogFiles\PortReporter目錄中，如果沒有這個目錄，啟動服務時會自動新建該目錄。

第一個技巧就是使用參數-ld可以指定日誌保存目錄，如果你的計算機有多人同時用，把日誌保存到你的個人目錄不是更安全嗎。比如可以這樣輸入參數：-ld'c:\programfiles\portreporter'。這樣你的日誌就被保存到c:\programfiles\portreporter目錄了。

第二個技巧是修改日誌文件大小，默認啟動時日誌最大為5M，超過5M後，就建新的日誌文件。使用-ls參數可以設置日誌文件大小（1M-100M），比如設置日誌文件大小為8M：-ls8000，注意這裏的單位是KB。圖5設置啟動參數。

圖5

不過在WindowsXP中文版下用-ld時不成功，顯示錯誤如圖6

圖6

三、日誌的瀏覽

打開保存日誌文件的目錄，默認是%systemroot%\System32\LogFiles\PortReporter，如果你使用-LD修改了保存位置打開相應的目錄，進入這個目錄，我們可以看到三個文件：

PR-INITIAL-*.log

PR-PORTS-*.log

PR-PIDS-*.log

圖7

其中*代表日誌文件創建時間，格式是year-month-day-hour-minute-second比如圖中文件的創建時間是2004年3月21日10時27分17秒。圖中有6個文件是因為我修改了係統時鍾造成的，PortReporter忠實的記錄了這一過程。

PR-INITIAL-*.log文件

這個文件主要記錄了服務啟動初始化的時候整個係統裏麵所有進程對網絡的使用情況。具體每個人計算機不同，花費的時間不同，當然記錄的內容也不同。

圖8

上圖顯示的是在2000啟動服務得到的日誌，其中的表頭含義是：PID:Process（進程號）Port（端口）LocalIP（本地IP）State（狀態）RemoteIP:Port（遠程IP和端口）。圖中顯示我打開了WINVNC的服務端口5905/5805，並且有一台IP為61.53.187.237的遠程計算機正在連接（ESTABLISHED/活動連接狀態）我的計算機（本地IP219.154.214.162）；圖中還顯示我打開了8085-8093端口，這幾個端口是提供WWW服務打開的端口（LISTENING/偵聽狀態），不是默認的80。

如果日誌文件比較大，瀏覽起來就費力了，這一點不如有些專業軟件直觀，如果能有樹型結構就更方便閱讀了，不過這個軟件畢竟才153K，功能奢侈不到那去。另外，PID也可以通過任務管理器看到：單擊進程選項卡，如果沒有PID列，請單擊查看、選擇列，然後單擊選中"PID"（進程標識符）複選框。單擊標為"PID"的列標題，按進程的PID對進程進行排序。這樣，就可以輕易找到進程ID。netstat-ano命令可用來確定哪個進程（程序）偵聽給定的端口。

PR-PIDS-*.log文檔

它針對每個PID都做了記錄，也就是端口對應的進程。如果有新的程序被安裝並且使用了新的UDP端口，那麼這個文件將記錄有關變化。

PR-PORTS-*.log文件

這個文件記錄了當前所有偵聽端口，並且記錄了每個端口所對應的應用程序（也許其中就有木馬）。如果你瀏覽了網頁比如WWW.163.COM，或者打開了應用程序（QQ），該文件都做了詳細的記錄，包括通訊時間，兩端IP和端口等信息，是不是有點被監視的感覺，顯然木馬也逃脫不了監視。PR-PORTS的格式是這樣的

date,time,protocol,localport,localIPaddress,remoteport,remoteIPaddress,PID,module,usercontext

04/3/21,10:27:9,TCP,4522,219.154.214.162,8080,61.53.187.157,1036,MyIE.exe,

圖9顯示的是瀏覽163網站時的記錄

圖9

圖10顯示的是使用WINVNC時的通訊記錄

圖10

四、幾個典型用途

1、檢查木馬悄悄打開的端口

一般中木馬的計算機都會被木馬打開一個或多個端口，等待遠端連接該端口，通過這個端口，不懷好意的網客可以輕易獲取重要信息甚至直接控製被中了木馬的計算機。通過分析portreporter日誌文件，對比知名的木馬端口，你可以立即發現木馬的行蹤，有了PID可以查找到木馬相對應的應用程序，接下來就是消滅木了。

常見的木馬端口可以在網上查到。

2、關閉不必要的端口

Windows安裝有許多的服務，他們大多會打開很多端口，這些端口直接暴露在外網中是很危險，通過分析過分析portreporter日誌文件可以知道已經打開了哪些端口，如果確實需要就保留，不希望暴露的端口就堅決關閉。比如80是提供WWW服務的端口，如果你不提供WWW服務就沒有必要開放80端口，一個危險的端口是23不是特別需要就關閉它。關閉端口的方法包括關閉相應的服務或使用網絡防火牆。

3、誰動你的奶酪

如果有人趁你不在的機會偷偷登錄你的計算機，或者使用的是公共的計算機，而其中某個人下載安裝了不該安裝的軟件或瀏覽惡意網頁而中毒，通過分析portreporter日誌文件可以查詢具體登錄的網址，並且能發現惡意網頁的IP和端口以及相應的應用程序，屏蔽或清除惡意代碼也就有了線索。

4、誰登錄了共享目錄

如果要監視誰正在使用的共享目錄，可以通過Windows的有關組件看到，比如在Windows98/Me中使用"網絡監視器"可以查看目前誰在使用你的計算機上的資源，在Windows2000/XP中，網絡監視器不再監測訪問本機的連接及來訪者的訪問信息，但來可以通過下麵的方法監視：控製麵板-管理工具-計算機管理，在右邊的目錄樹中雙擊展開"共享文件夾"，下麵共有三個選項："共享"、"會話"和"打開文件"等。但是你不能24小說盯著屏幕，也許有人上傳了亂七八糟的文件，這時使用portreporter服務24小時動態監視，通過日誌就能查出誰使用了你的共享目錄，包括時間和IP等信息都在日誌中有詳細的記載。

總結

PortReporter是以後台服務的方式運行的，隻要你啟用她，她就默默的監視並記錄網絡通訊過程。顯然，日誌中的信息對發現木馬和解決網絡問題都非常有用，通過分析日誌對提高你的計算機安全性能也大有幫助。而且這個軟件是微軟發布的，畢竟是自家的東西，應該和Windows結合更緊密，讓用戶更有安全感。

第一章 打造係統的安全防線

提到HackerEliminator你可能還很陌生，但是如果提到風靡一時的LockDown2000，想必大家就不會陌生了。HackerEliminator其實就是LockDown2000的新版本。通過HackerEliminator我們可以實時監視係統所有正在運行的進程，當發現異常的進程就會及時報警，防止駭客和木馬程序的攻擊，隻需5分鍾就可打造係統的安全防線。

軟件基本信息

軟件名稱：HackerEliminator

軟件大小：2598KB

軟件語言：簡體中文

軟件類別：共享版

運行環境：Win9X/Me/NT/2000/XP

下載地址：http://www.mydown.com

一、把木馬"揪'出來

1.掃描病毒

運行HackerEliminator，在左側的功能窗口中選擇"掃描器"(圖1)，接著在右側的窗口中通過文件夾圖標按鈕來選擇要掃描的路徑，可以是某個磁盤或者某個文件夾，注意不能選擇"我的電腦"。之後點擊"掃描"按鈕就可以對磁盤或文件夾進行全方位的掃描。如果發現木馬程序，會將它們"揪"出來，顯示在窗口中。右鍵單擊該木馬，還可以通過快捷菜單中的命令刪除該文件、刪除該文件所在的文件夾以及瀏覽文件夾等。

圖1

2.掃描設置

在默認的情況下，"HackerEliminator"可以掃描包括BAT、COM、EXE、DLL、VBS、VXD等擴展名的文件。其實，很多木馬病毒程序都是隱藏在壓縮文件中的，有的病毒還可以使用其它的擴展名來偽裝自己。這時，為了讓掃描更加徹底，你可以在主界麵左側選擇"掃描器→選項"(圖2)，在打開的窗口中選中"掃描壓縮文件"，在窗口下方點擊"添加擴展名"按鈕來添加其它擴展名，比如JS、WSH、HTT等。這樣就不會放過任何一個病毒。

圖2

另外，通過"時間表"功能，你可以為某個文件或文件夾設置定時掃描。

二、打造安全防線

1.設置監視的對象

除了掃描功能外，HackerEliminator可以實時對係統文件、注冊表文件以及係統進程進行監視。如果發生異常，比如運行新的應用程序，它就會自動彈出進程窗口來報警。如果發現並沒有運行該程序，可以點擊"關閉進程"，打開相應的文件夾查看詳細的情況。如果要監視更多的內容，可以點擊相應的項目，比如你還想監視其它的文件，可以在左側的窗口中選擇"文件"，接著在窗口右下方點擊"添加文件"按鈕來添加其它要監視的文件，可以是任何類型的文件。

2.活用監視工具

HackerEliminator還提供了連接、進程、啟動、服務器、擴展名等工具，通過"連接"工具你可以了解到當前網絡所有數據包的情況，包括對TCP、UDP監聽，提供IP地址、本地端口、遠端端口、監聽狀態信息，通過這些你可以分析當前數據包發送和接收情況，防止駭客的攻擊。通過"進程"工具，你可以查看當前運行的所有進程情況，提供是否聯網、進程路徑等非常有用的功能列表。通過這些，你可以了解到某個進程是否訪問網絡，比如常見的木馬程序就會自動連網。通過"啟動"工具，還可以輕鬆管理係統的啟動項目，點擊窗口下方的"從啟動項刪除"按鈕可以輕鬆刪除不需要啟動的項。

現在，個人安全防線已經打造完畢，你可以在新春之際安心地上網了。

第二章 利用IRIS學習TCP/IP

一、前言

目前，網絡的速度發展非常快，學習網絡的人也越來越多，稍有網絡常識的人都知道TCP/IP協議是網絡的基礎，是Internet的語言，可以說沒有TCP/IP協議就沒有互聯網的今天。目前搞網絡的人非常多，許多人就是從一把夾線鉗，一個測線器聯網開始接觸網絡的，如果隻是聯網玩玩，知道幾個Ping之類的命令就行了，如果想在網絡上有更多的發展不管是黑道還是紅道，必須要把TCP/IP協議搞的非常明白。

學習過TCP/IP協議的人多都有一種感覺，這東西太抽象了，沒有什麼數據實例，看完不久就忘了。本文將介紹一種直觀的學習方法，利用分析監測工具IRIS學習TCP/IP，在學習的同時通過IRIS能直觀的看到數據的具體傳輸過程，這對學習TCP/IP能起到事半功倍的效果。

為了初學者更容易理解，本文將搭建一個最簡單的網絡環境，不包含子網。

二、試驗環境

1、網絡環境

如圖1所示

圖1

為了表述方便，下文中208號機即指地址為192.168.113.208的計算機，1號機指地址為192.168.113.1的計算機。

2、操作係統

兩台機器都為Windows2000，1號機機器作為服務器，安裝FTP服務

3、協議分析工具

Windows環境下常用的工具有：SnifferPro、Natxray、IRIS以及windows2000自帶的網絡監視器等。本文選用IRIS作為協議分析工具。

在客戶機208號機安裝IRIS軟件。

三、測試過程

1、測試例子：將1號機計算機中的一個文件通過FTP下載到208號機中。

2、IRIS的設置。

由於IRIS具有網絡監聽的功能，如果網絡環境中還有其它的機器將抓很多別的數據包，這樣為學習帶來諸多不便，為了清楚地看清楚上述例子的傳輸過程首先將IRIS設置為隻抓208號機和1號機之間的數據包。設置過程如下：

1)用熱鍵CTRL+B彈出如圖所示的地址表，在表中填寫機器的IP地址，為了對抓的包看得更清楚不要添主機的名字（name）,設置好後關閉此窗口。

圖2

2）用熱鍵CTRL+E彈出如圖所示過濾設置，選擇左欄"IPaddress"，右欄按下圖將addressbook中的地址拽到下麵，設置好後確定，這樣就這抓這兩台計算機之間的包。

圖3

3、抓包

按下IRIS工具欄中開始按鈕。在瀏覽器中輸入：FTP://192.168.113.1，找到要下載的文件，鼠標右鍵該文件，在彈出的菜單中選擇"複製到文件夾"開始下載，下載完後在IRIS工具欄中按按鈕停止抓包。圖4顯示的就是FTP的整個過程，下麵我們將詳細分析這個過程。

說明：為了能抓到ARP協議的包，在WINDOWS2000中運行arp-d清除arp緩存。

四、過程分析

1、TCP/IP的基本原理

本文的重點雖然是根據實例來解析TCP/IP，但要講明白下麵的過程必須簡要講一下TCP/IP的基本原理。

A．網絡是分層的，每一層分別負責不同的通信功能。

TCP/IP通常被認為是一個四層協議係統，TCP/IP協議族是一組不同的協議組合在一起構成的協議族。盡管通常稱該協議族為TCP/IP，但TCP和IP隻是其中的兩種協議而已，如表1所示。每一層負責不同的功能：

TCP/IP層描述

主要協議

主要功能

應用層

Http、Telnet、FTP和e-mail等

負責把數據傳輸到傳輸層或接收從傳輸層返回的數據

傳輸層

TCP和UDP

主要為兩台主機上的應用程序提供端到端的通信，TCP為兩台主機提供高可靠性的數據通信。它所做的工作包括把應用程序交給它的數據分成合適的小塊交給下麵的網絡層，確認接收到的分組，設置發送最後確認分組的超時時鍾等。UDP則為應用層提供一種非常簡單的服務。它隻是把稱作數據報的分組從一台主機發送到另一台主機，但並不保證該數據報能到達另一端。

網絡層

ICMP、IP和IGMP

有時也稱作互聯網層，主要為數據包選擇路由，其中IP是TCP/IP協議族中最為核心的協議。所有的TCP、UDP、ICMP及IGMP數據都以IP數據報格式傳輸

鏈路層

ARP、RARP和設備驅動程序及接口卡

發送時將IP包作為幀發送；接收時把接收到的位組裝成幀；提供鏈路管理；錯誤檢測等

表1

分層的概念說起來非常簡單，但在實際的應用中非常的重要，在進行網絡設置和排除故障時對網絡層次理解得很透，將對工作有很大的幫助。例如：設置路由是網絡層IP協議的事，要查找MAC地址是鏈路層ARP的事，常用的Ping命令由ICMP協議來做的。

圖5顯示了各層協議的關係，理解它們之間的關係對下麵的協議分析非常重要。

圖5

b.數據發送時是自上而下，層層加碼；數據接收時是自下而上，層層解碼。

當應用程序用TCP傳送數據時，數據被送入協議棧中，然後逐個通過每一層直到被當作一串比特流送入網絡。其中每一層對收到的數據都要增加一些首部信息（有時還要增加尾部信息），該過程如圖6所示。TCP傳給IP的數據單元稱作TCP報文段或簡稱為TCP段。IP傳給網絡接口層的數據單元稱作IP數據報。通過以太網傳輸的比特流稱作幀(Frame)。

數據發送時是按照圖6自上而下，層層加碼；數據接收時是自下而上，層層解碼。

圖6

C.邏輯上通訊是在同級完成的

垂直方向的結構層次是當今普遍認可的數據處理的功能流程。每一層都有與其相鄰層的接口。為了通信，兩個係統必須在各層之間傳遞數據、指令、地址等信息，通信的邏輯流程與真正的數據流的不同。雖然通信流程垂直通過各層次，但每一層都在邏輯上能夠直接與遠程計算機係統的相應層直接通信。

從圖7可以看出，通訊實際上是按垂直方向進行的，但在邏輯上通信是在同級進行的。

圖7

2、過程描述

為了更好的分析協議，我們先描述一下上述例子數據的傳輸步驟。如圖8所示：

圖8

1)FTP客戶端請求TCP用服務器的IP地址建立連接。

2)TCP發送一個連接請求分段到遠端的主機，即用上述IP地址發送一份IP數據報。

3)如果目的主機在本地網絡上，那麼IP數據報可以直接送到目的主機上。如果目的主機在一個遠程網絡上，那麼就通過IP選路函數來確定位於本地網絡上的下一站路由器地址，並讓它轉發IP數據報。在這兩種情況下，IP數據報都是被送到位於本地網絡上的一台主機或路由器。

4)本例是一個以太網，那麼發送端主機必須把32位的IP地址變換成48位的以太網地址，該地址也稱為MAC地址，它是出廠時寫到網卡上的世界唯一的硬件地址。把IP地址翻譯到對應的MAC地址是由ARP協議完成的。

5)如圖的虛線所示，ARP發送一份稱作ARP請求的以太網數據幀給以太網上的每個主機，這個過程稱作廣播。ARP請求數據幀中包含目的主機的IP地址，其意思是"如果你是這個IP地址的擁有者，請回答你的硬件地址。"

6)目的主機的ARP層收到這份廣播後，識別出這是發送端在尋問它的IP地址，於是發送一個ARP應答。這個ARP應答包含IP地址及對應的硬件地址。

7)收到ARP應答後，使ARP進行請求-應答交換的IP數據包現在就可以傳送了。

8)發送IP數據報到目的主機。

3、實例分析

下麵通過分析用IRIS捕獲的包來分析一下TCP/IP的工作過程，為了更清晰的解釋數據傳送的過程，我們按傳輸的不同階段抓了四組數據，分別是查找服務器、建立連接、數據傳輸和終止連接。每組數據，按下麵三步進行解釋。

顯示數據包

解釋該數據包

按層分析該包的頭信息

第一組查找服務器

1）下圖顯示的是1、2行的數據。

2）解釋數據包

這兩行數據就是查找服務器及服務器應答的過程。

在第1行中，源端主機的MAC地址是00:50:FC:22:C7:BE。目的端主機的MAC地址是FF:FF:FF:FF:FF:FF，這個地址是十六進製表示的，F換算為二進製就是1111，全1的地址就是廣播地址。所謂廣播就是向本網上的每台網絡設備發送信息，電纜上的每個以太網接口都要接收這個數據幀並對它進行處理，這一行反映的是步驟5）的內容，ARP發送一份稱作ARP請求的以太網數據幀給以太網上的每個主機。網內的每個網卡都接到這樣的信息"誰是192.168.113.1的IP地址的擁有者，請將你的硬件地址告訴我"。

第2行反映的是步驟6）的內容。在同一個以太網中的每台機器都會"接收"到這個報文，但正常狀態下除了1號機外其他主機應該會忽略這個報文，而1號的主機的ARP層收到這份廣播報文後，識別出這是發送端在尋問它的IP地址，於是發送一個ARP應答。告知自己的IP地址和MAC地址。第2行可以清楚的看出1號回答的信息__自己的MAC地址00:50:FC:22:C7:BE。

這兩行反映的是數據鏈路層之間一問一答的通信過程。這個過程就像我要在一個坐滿人的教室找一個叫"張三"的人，在門口喊了一聲"張三"，這一聲大家都聽見了，這就叫廣播。張三聽到後做了回應，別人聽到了沒做回應，這樣就與張三取得了聯係。

3）頭信息分析

如下圖左欄所示，第1數據包包含了兩個頭信息：以太網（Ethernet）和ARP。

圖10

下表2是以太網的頭信息，括號內的數均為該字段所占字節數，以太網報頭中的前兩個字段是以太網的源地址和目的地址。目的地址為全1的特殊地址是廣播地址。電纜上的所有以太網接口都要接收廣播的數據幀。兩個字節長的以太網幀類型表示後麵數據的類型。對於ARP請求或應答來說，該字段的值為0806。

第2行中可以看到，盡管ARP請求是廣播的，但是ARP應答的目的地址卻是1號機的（0050FC22C7BE）。ARP應答是直接送到請求端主機的。

行

以太網目的地址（6）

以太網源地址（6）

幀類型（2）

1

FFFFFFFFFFFF

0050FC22C7BE

0806

2

0050FC22C7BE

009027F65453

0806

表2

下表3是ARP協議的頭信息。硬件類型字段表示硬件地址的類型。它的值為1即表示以太網地址。協議類型字段表示要映射的協議地址類型。它的值為0800即表示IP地址。它的值與包含IP數據報的以太網數據幀中的類型字段的值相同。接下來的兩個1字節的字段，硬件地址長度和協議地址長度分別指出硬件地址和協議地址的長度，以字節為單位。對於以太網上IP地址的ARP請求或應答來說，它們的值分別為6和4。Op即操作（Opoperation），1是ARP請求、2是ARP應答、3是RARP請求和4為RARP應答，第二行中該字段值為2表示應答。接下來的四個字段是發送端的硬件地址、發送端的IP地址、目的端的硬件地址和目的端IP地址。注意，這裏有一些重複信息：在以太網的數據幀報頭中和ARP請求數據幀中都有發送端的硬件地址。對於一個ARP請求來說，除目的端硬件地址外的所有其他的字段都有填充值。

表3的第2行為應答，當係統收到一份目的端為本機的ARP請求報文後，它就把硬件地址填進去，然後用兩個目的端地址分別替換兩個發送端地址，並把操作字段置為2，最後把它發送回去。

行

1

2

硬件類型(2)

0001

0001

協議類型(2)

0800

0800

硬件地址長度(1)

06

06

協議地址長度(1)

04

04

Op(2)

0001

0002

發送端以太網地址(6)

0050FC22C7BE

009027F65453

發送端IP地址(4)

C0A871D0

C0A87101

目的以太網地址(6)

000000000000

0050FC22C7BE

目的IP地址(4)

C0A87101

C0A871D0

表3

本文中我們推出了用協議分析工具IRIS學習TCP/IP協議的上半部份，剩下的內容我們將在下半部份中一起推出。

解釋數據包

這三行數據是兩機建立連接的過程。

這三行的核心意思就是TCP協議的三次握手。TCP的數據包是靠IP協議來傳輸的。但IP協議是隻管把數據送到出去，但不能保證IP數據報能成功地到達目的地，保證數據的可靠傳輸是靠TCP協議來完成的。當接收端收到來自發送端的信息時，接受端詳發送短發送一條應答信息，意思是："我已收到你的信息了。"第三組數據將能看到這個過程。TCP是一個麵向連接的協議。無論哪一方向另一方發送數據之前，都必須先在雙方之間建立一條連接。建立連接的過程就是三次握手的過程。

這個過程就像要我找到了張三向他借幾本書，第一步：我說："你好，我是擔子"，第二步：張三說："你好，我是張三"，第三步：我說："我找你借幾本書。"這樣通過問答就確認對方身份，建立了聯係。

下麵來分析一下此例的三次握手過程。

A.請求端208號機發送一個初始序號（SEQ）987694419給1號機。