1. TCP-kolminkertainen kädenpuristus
Lähettäjä lähettää vastaanottajalle paketin, jossa on SYN=1 ja ACK=0 lippu, pyytäen yhteyttä, joka on ensimmäinen kättely. Jos vastaanottaja vastaanottaa pyynnön ja sallii yhteyden, se lähettää lähettäjälle paketin, jossa on SYN=1 ja ACK=1 liput, kertoen että se voi kommunikoida, ja pyytää lähettäjää lähettämään vahvistuspaketin, joka on toinen kättely. Lopuksi lähettäjä lähettää vastaanottajalle paketin, jossa on SYN=0 ja ACK=1, ilmoittaen yhteyden vahvistuksesta, mikä on kolmas kättely. Tämän jälkeen TCP-yhteys muodostetaan ja viestintä alkaa.
2. Merkitse tiedot TCP-paketissa
*SYN: Synkronointilippu
Synkronoi sekvenssinumerot -kenttä on pätevä. Tämä lippu on voimassa vain, kun TCP-yhteys muodostetaan kolmoiskädenpuristuksen aikana. Se pyytää TCP-yhteyden palvelinta tarkistamaan sarjanumeron, joka on alkuperäisen TCP-yhteyden (yleensä asiakkaan) alkuperäinen sekvenssinumero. Tässä TCP-sekvenssinumeroa voidaan ajatella 32-bittisenä laskurina, joka vaihtelee 0:sta 4,294,967,295:een. Jokainen TCP-yhteyden kautta vaihdettava tavu sekvensoidaan. TCP-otsikon sekvenssinumerosarakkeessa on TCP-segmentin ensimmäisen tavun sekvenssinumero.
*ACK: Vahvistuslippu
Kuittausnumero -kenttä on pätevä. Useimmiten lippu on sijoitettu. Vahvistusnumero (w+1, kuva 1) TCP-otsikon vahvistusnumerosarakkeessa on seuraava odotettu sekvenssinumero, ja etäpää on merkittyJärjestelmäKaikki tiedot on vastaanotettu onnistuneesti.
*RST: Nollaa lippu
Nollausmerkki on voimassa. Käytettiin vastaavan TCP-yhteyden nollaamiseen.
*KÄSKY: Hätämerkki
Kiireellinen osoitinmerkki on pätevä. hätäkylttien sijoittelu,
*PSH: Push-logo
Kun lippu asetetaan, vastaanottaja ei jonota dataa, vaan siirtää tiedot sovellukseen mahdollisimman nopeasti. Lippu asetetaan aina, kun käsitellään yhteyksiä vuorovaikutustiloissa, kuten telnetissä tai rloginissa.
*FIN: Loppumerkki
Tämän lipun pakettia käytetään TCP-takaisinkutsun lopettamiseen, mutta portti on edelleen avoinna vastaanottamaan seuraavaa dataa.
3. Useiden TCP-tilojen rooli analyysissämme
TCP-kerroksessa on FLAGS-kenttä, jolla on seuraavat tunnisteet: SYN, FIN, ACK, PSH, RST, URG. Näistä ensimmäiset viisi kenttää ovat hyödyllisiä päivittäisessä analyysissämme. Ne tarkoittavat seuraavaa: SYN tarkoittaa yhteyden muodostamista, FIN yhteyden sulkemista, ACK vastaamista, PSH tarkoittaa DATANSIIRTOA ja RST yhteyden nollausta. Näistä ACK:ta voidaan käyttää samanaikaisesti SYN:n, FIN:n jne. kanssa, esimerkiksi SYN ja ACK voivat olla 1 samanaikaisesti, mikä edustaa vastetta yhteyden muodostamisen jälkeen; jos kyseessä on vain yksi SYN, se edustaa vain yhteyden muodostumista. TCP:n useat kättelyt ilmenevät tällaisissa ACK:issa. SYN ja FIN eivät kuitenkaan ole yhtä aikaa, koska ensimmäinen tarkoittaa yhteyden muodostamista, kun taas FIN tarkoittaa yhteyden katkaistamista. RST ilmestyy yleensä FIN:n jälkeen ykköseen, mikä tarkoittaa yhteyden nollausta. Yleensä, kun FIN- tai RST-paketti ilmestyy, oletamme, että asiakas on irrotettu palvelimesta. Kun SYN- ja SYN+ACK-paketit ilmestyvät, uskomme, että asiakas on muodostanut yhteyden palvelimeen. PSH arvo 1 esiintyy yleensä vain paketeissa, joissa on ei-0 DATA-sisältöä, mikä tarkoittaa, että PSH 1:stä tarkoittaa, että todellista TCP-pakettisisältöä välitetään. TCP-yhteyden muodostaminen ja sulkeminen tehdään pyyntö-vastausmallin kautta
|
Julkaistu 5.1.2015 12.10.05
|
|
|
