1. TCP háromféles kézfogás
A feladó egy csomagot küld a vevőnek SYN=1 és ACK=0 zászlóval, kapcsolatot kérve, ami az első kézfogás. Ha a vevő megkapja a kérést és engedélyezi a kapcsolatot, akkor egy csomagot küld a feladónak a SYN=1 és ACK=1 zászlóval, jelezve, hogy kommunikálhat, és kéri a küldőt, hogy küldjön egy megerősítő csomagot, ami a második kézfogás. Végül a feladó egy csomagot küld a vevőnek SYN=0 és ACK=1 értékekkel, jelezve, hogy a kapcsolat megerősítődött, ami a harmadik kézfogás. Ezután TCP kapcsolat jön létre és megkezdődik a kommunikáció.
2. Jelzés információt a TCP csomagban
*SYN: Szinkronizációs zászló
A Synchronize Sequence Numbers mező érvényes. Ez a zászló csak akkor érvényes, ha TCP kapcsolat jön létre egy hármas kézfogás során. Arra kéri a TCP kapcsolat szerverét, hogy ellenőrizze a sorozatszámot, amely az első TCP kapcsolat (általában az ügyfél) kezdeti sorszáma. Itt a TCP sorozatszám egy 32 bites számlálóként értelmezhető, amely 0-tól 4 294 967 295-ig terjed. Minden TCP kapcsolaton keresztül cserélt bajttal a szekvenálás alatt történik. A TCP fejlécében található sorszám oszlop tartalmazza a TCP szegmens első bájtjának sorszámát.
*ACK: Megerősítő zászló
Az Acknowledgement Number mező érvényes. A legtöbb esetben a zászlós rész van elhelyezve. A hitelesítési szám (w+1, 1. ábra) a TCP fejlécében található megerősítési szám a következő várható sorszámszám, és a távoli véget jelölikRendszerMinden adat sikeresen megérkezett.
*RST: Visszaállított zászló
A reset jel érvényes. A megfelelő TCP kapcsolat visszaállításához használták.
*URG: Vészjelzés
A sürgős jelző jel érvényes. vészjelzés elhelyezése,
*PSH: Push logó
Amikor a zászlót helyezik, a vevő nem sorba állítja az adatokat, hanem a lehető leggyorsabban továbbítja az adatokat az alkalmazásnak. A zászlót mindig beállítják, amikor interakciós módokban, például telnet vagy rlogin kapcsolatokat használunk.
*FIN: Végjelző
Ezzel a zászlóval ellátott csomagot a TCP visszahívás megszüntetésére használják, de a port továbbra is nyitva áll a további adatok fogadására.
3. A TCP több állapotának szerepe elemzésünkben
A TCP rétegben található egy FLAGS mező, amelynek a következő azonosítói vannak: SYN, FIN, ACK, PSH, RST, URG. Közülük az első öt mező hasznos a napi elemzésünkhöz. A következőket jelentik: a SYN a kapcsolat létrehozását, a FIN a kapcsolat lezárását, az ACK a válaszadást, a PSH az adatátvitelt, az RST pedig a kapcsolat visszaállítását. Közülük az ACK egyszerre használható a SYN, FIN stb.-vel, például a SYN és az ACK egyszerre lehet 1, ami a kapcsolat létrehozása utáni választ jelenti, ha csak egyetlen SYN, akkor csak a kapcsolat létrejöttét jelenti. A TCP több kézfogása ilyen ACK-ken keresztül nyilvánul meg. Azonban a SYN és a FIN nem lesz egyszerre 1, mert az előbbi kapcsolat létrehozását jelenti, míg az utóbbi a megszakítást. Az RST általában a FIN-től 1-ig után jelenik meg, ami a kapcsolat visszaállítását jelzi. Általában, amikor megjelenik egy FIN vagy RST csomag, feltételezzük, hogy a kliens el van kapcsolva a szervertől. Amikor megjelennek a SYN és SYN+ACK csomagok, úgy gondoljuk, hogy a kliens kapcsolatot létesített a szerverrel. Az 1-es PSH általában csak olyan csomagokban jelenik meg, amelyekben nem 0 DATA tartalom van, ami azt jelenti, hogy az 1-es PSH valódi TCP csomagtartalmat passzol. A TCP kapcsolat létrehozása és lezárása kérés-válasz mintán keresztül történik
|
Közzétéve 2015. 01. 05. 12:10:05
|
|
|
