【TCP/IP】检验和算法

在巨著《TCP/IP详解1》中有这样一句话：“ICMP,IGMP,UDP and TCP all use the same checksum algorithm”。的确，检验和算法在TCP/IP协议族中大同小异。其过程大致都是：接收方通过判断检验和是否一致，进一步判断该数据包头部传输过程中是否丢失或者被污染了。本文将以IP协议首部（见下图）为例简单介绍检验和算法：

　　　　


 

　　　　简单地说，检验和是一个16位字段，即上图中16位首部检验和。通过设置该字段取值，将该IP首部是否完整的信息携带其中。还记得以前的信封吗，在包好的信封背面，往往有一个红泥印，收信人常常通过红泥印来判断信封是否曾被人打开。而检验和字段就是IP数据包首部的“红泥印”。

　　　　


　　　　

 

　　　　设置检验和或许有许多方法，目前，最为流行的一种方法是这样的。首先在发送端计算检验和，将其与IP数据包一起发出，接收端对该数据包头部进行相应的处理，得到检验和大小，从而判断数据包头部是否完整。

　　　　检验和算法可以分成两步来实现。首先在发送端，有以下三步：
把即将发送的IP头部中的检验和设置为0，然后以16位为一个间隔，将IP头部分成许多个16位的字段；
将第1步获得的所有字段进行二进制相加求和；
把最终结果取反，就得到检验和，再将该值填充到IP头部。

　　　　其次在接收端，也有相应的三步：
把接收到的IP头部分成16位一个间隔的字段集合；
所有字段进行二进制相加求和；
将最终结果取反，判断该结果是否为0，若为0，则说明检验和正确，若不为0，则协议栈会丢掉这个包。（你没看错，这一步还是要取反）

 

 

　　　上面的步骤，很抽象，也很无聊。一起来看一个例子。

　　0                       1                        2                        3  

    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 (32位，4字节）

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |　4　　|　5　　|　　　0　　　　|　　　　　28　　　　　　　|

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |　　　　　　　　1　　　　　　|　　　0　　　|　　0　　　　　|

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |　　　　4　　|　　　　17　　|　　　　0(checksum)　　　　　　|

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                       10.12.14.5                                                                  |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

   |                    12.6.7.9                                                                        |

   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

　　　 这是典型的IP报头，其中各个字段的值都已经设置了。检验和先设为0。

　　　 使用二进制或者十六进制来计算它的检验和。

　　　　　　4,5,0--> 0100 0101 0000 0000

　　　　　　28 --> 0000 0000 0001 1100

　　　　　　1  -->  0000 0000 0000 0001

　　　　　　0,0-->0000 0000 0000 0000

　　　　　　4,17-->0000 0100 0001 0001

　　　　　　0    -->0000 0000 0000 0000

　　　　　　10.12-->0000 1010 0000 1100

　　　　　　14.5-->0000 1110 0000 0101

　　　　　　12.6-->0000 1100 0000 0110

　　　　　　7.9-->0000 0111 0000 1001

　　　　　　和-->0111 0100 0100 1110(744E，十六进制)

　　　　对上面的求和取反，就得到检验和，为8BB1，那么就在IP首部将16位检验和设置为8BB1。

　　　 假设数据包是完整的，接收端相应地进行操作，8BB1+744E，就得到了FFFF，取反则为0，所以验证了数据包没有被污染。

 

 

　　　　这一切似乎都是我在瞎捣弄，所以这么巧。那么使用wireshake抓包软件来做个试验吧，随机抓取一个接收端的包，按照上面所说的方法验证其中的检验和，图中最下方蓝色16进制字段就是IP报头，共20个字节。



 

　　　　需注意，因为是接收包，已经设置了检验和，即ab7e，在最初发送这个包时，计算检验和，这个字段设置为0000，计算完成后，再将结果ab7e填充到这个字段。其原理可以表示为下图，图中T为除了checksum，IP数据包首部其他的字段和，即检验和算法步骤2的结果：



 

 

　　　　再来看看代码，网上到处都有这份代码，我就随便copy了，汇编代码请参考附录链接1：

USHORT checksum (USHORT *buffer,int size)

{

Unsigned long cksum=0;/*32位长整数，检验和被置为0*/

While (size>1)

{

Cksum +=*buffer++;

size -=sizeof(USHORT);

}

If (size) /*处理剩余下来的字段，这些字段皆小于16位*/

{

Cksum +=*(UCHAR *) buffer;

}

/*将32位转换为16位,高16位与低16位相加*/

While (cksum>>16)

Cksum = (cksum>>16) + (cksum & 0xffff);

Return (USHORT) (~cksum);

}

 

 

　　　　看完代码后，你可能会有一个疑惑，代码中为什么要将cksum设置为unsigned long (32位)而非16位呢？这要回到刚才wireshake那张图来解释，那张图里有一个陷阱，你可能没注意。按前面步骤仔细计算图中检验和，会发现一个奇怪的地方。该图中所有16位字段相加，最后结果是2547F(16进制)，已经超出了16位，如何处理这个超出的数’2’呢？难道上面计算检验和的方法是错误的？好吧，对不起，为了简单起见，在前文我避开了一个知识点：二进制反码计算。细节不再赘述，请参考附录链接2。在此处，我们这样处理，将溢出的“2”与最末端“F”相加，得到5481，将5481与ab7e相加，就是FFFF，取反，正好为0，说明这个数据包没有“被人动过手脚”，这样它才能被wireshake抓到，否则，就会被协议栈丢弃。同时，这也可以解释为什么将cksum变量设置为32位，是用高16位存储溢出的位值，并将溢出位与cksum低16位相加。

　　　　提一个问题，如果接收方已经接受到一个文件的部分数据，但其中有一个ip数据包由于检验和不对而被丢弃，那么接收方后续将如何处理已经接收到的数据呢？

　　　　检验和只是差错检验的一种，而且也可能出错。所以还有许多其他的方法以及补充措施，比如奇偶检验，循环冗余检验(CRC)，tcp协议自身的检错功能。感兴趣的话，可以阅读RFC1071，请参考附录链接3。

 

 

附录：

链接3：http://www.faqs.org/rfcs/rfc1071.html

链接2：http://blog.chinaunix.net/uid-26758209-id-3146230.html

链接1：http://blog.csdn.net/chenlong12580/article/details/7354037

参考书1：《TCP/IP协议族》 BehrouzA.Forouzan著，谢希仁审校

参考书2：《TCP/IP详解1》Richard Stevens