1. TCP třícestné podání ruky
Odesílatel odesílá paket s příznakem SYN=1 a ACK=0 příjemci, čímž požaduje spojení, což je první handshake. Pokud příjemce přijme požadavek a povolí spojení, odesílá odesílateli paket s příznaky SYN=1 a ACK=1, kterým mu sdělí možnost komunikace a požádá ho o potvrzovací paket, což je druhý handshake. Nakonec odesílatel odešle paket se SYN=0 a ACK=1 příjemci, čímž mu sdělí, že spojení bylo potvrzeno, což je třetí handshake. Poté je navázáno TCP spojení a komunikace začíná.
2. Informace o příznaku v TCP balíčku
*SYN: Synchronizační příznak
Pole Synchronize Sequence Numbers je platné. Tento příznak je platný pouze tehdy, když je TCP spojení navázáno během trojitého handshake. Server TCP připojení vyzývá k ověření sériového čísla, což je počáteční pořadové číslo počátečního TCP připojení (obvykle klienta). Zde lze TCP sekvenční číslo chápat jako 32bitový čítač v rozsahu od 0 do 4 294 967 295. Každý bajt dat vyměňovaných přes TCP spojení je sekvenován. Sloupec pořadového čísla v hlavičce TCP obsahuje pořadové číslo prvního bajtu v TCP segmentu.
*ACK: Potvrzovací vlajka
Pole Číslo potvrzení je platné. Většinou je vlajkový bit umístěn. Potvrzovací číslo (w+1, Obrázek-1) uvedené ve sloupci potvrzovacího čísla v TCP hlavičce je další očekávané pořadové číslo a vzdálený konec je označenSystémVšechna data byla úspěšně přijata.
*RST: Resetovat příznak
Znamení reset je platné. Používá se k resetování odpovídajícího TCP spojení.
*NALÉHAVÉ: Nouzový signál
Urgentní ukazatel je platný. umístění nouzových cedulí,
*PSH: Push logo
Když je příznak umístěn, příjemce data neřadí do fronty, ale co nejrychleji je přenáší do aplikace. Příznak je vždy nastaven při jednání s připojeními v režimech interakce, jako je telnet nebo rlogin.
*FIN: Konec značky
Paket s tímto příznakem se používá k ukončení TCP zpětného volání, ale port je stále otevřený pro příjem dalších dat.
3. Role několika stavů TCP v naší analýze
V TCP vrstvě je pole FLAGS, které má následující identifikátory: SYN, FIN, ACK, PSH, RST, URG. Mezi nimi je těchto prvních pět polí užitečných pro naši každodenní analýzu. Znamenají následující: SYN znamená navázat spojení, FIN znamená uzavřít spojení, ACK znamená odpovědět, PSH znamená přenos dat a RST znamená obnovení spojení. Mezi nimi může být ACK používán současně se SYN, FIN atd., například SYN a ACK mohou být 1 současně, což představuje odpověď po navázání spojení, pokud je to pouze jeden SYN, znamená pouze navázání spojení. Několik rukou TCP se projevuje právě takovými ACK. SYN a FIN však nebudou 1 současně, protože první znamená navázat spojení, zatímco druhý znamená odpojit. RST se obvykle objevuje po FIN na 1, což znamená obnovení spojení. Obecně platí, že když se objeví FIN nebo RST paket, předpokládáme, že klient je od serveru odpojený. Když se objeví balíčky SYN a SYN+ACK, myslíme si, že klient navázal spojení se serverem. PSH 1 se obvykle objevuje pouze v paketech s obsahem DATA mimo 0, což znamená, že PSH 1 znamená, že skutečný obsah TCP paketů je předáván. Navazování a uzavření spojení TCP probíhá prostřednictvím vzoru požadavek a odpovědi
|
Zveřejněno 05.01.2015 12:10:05
|
|
|
