1. Stretta di mano a tre vie TCP
Il mittente invia un pacchetto con SYN=1 e ACK=0 al destinatario, richiedendo una connessione, che è la prima stretta di mano. Se il destinatario riceve la richiesta e consente la connessione, invierà un pacchetto con i flag SYN=1 e ACK=1 al mittente, indicandogli che può comunicare e chiedendo al mittente di inviare un pacchetto di conferma, che è la seconda stretta di mano. Infine, il mittente invia un pacchetto con SYN=0 e ACK=1 al destinatario, indicandogli che la connessione è stata confermata, che è la terza stretta di mano. Dopo di ciò, si stabilisce una connessione TCP e inizia la comunicazione.
2. Informazioni di segnalazione nel pacchetto TCP
*SYN: Flag di sincronizzazione
Il campo Sincronizza i Numeri di Sequenza è valido. Questo flag è valido solo quando viene stabilita una connessione TCP durante una tripla stretta di mano. Chiede al server della connessione TCP di controllare il numero di serie, che è il numero di sequenza iniziale della connessione TCP iniziale (di solito il client). Qui, il numero di sequenza TCP può essere considerato come un contatore a 32 bit che varia da 0 a 4.294.967.295. Ogni byte di dati scambiato tramite una connessione TCP viene sequenziato. La colonna del numero di sequenza nell'intestazione TCP contiene il numero di sequenza del primo byte nel segmento TCP.
*ACK: Bandiera di Conferma
Il campo Numero di Riconoscimento è valido. La maggior parte delle volte, viene posizionato il punto della bandiera. Il numero di conferma (w+1, Figura-1) contenuto nella colonna del numero di conferma nell'intestazione TCP è il successivo numero di sequenza atteso, e l'estremità remota è indicataSistemaTutti i dati sono stati ricevuti con successo.
*RST: Flag di reset
Il segno di reset è valido. Usato per resettare la corrispondente connessione TCP.
*URG: Segnale di emergenza
Il segno di punta urgente è valido. Posizionamento dei cartelli d'emergenza,
*PSH: Logo Push
Quando viene posizionata la bandiera, il ricevitore non mette i dati in coda, ma li trasferisce all'applicazione il più rapidamente possibile. Il flag è sempre impostato quando si lavorano connessioni in modalità di interazione come telnet o rlogin.
*FIN: Cartello di fine
Il pacchetto con questo flag viene usato per terminare un callback TCP, ma la porta è ancora aperta per ricevere i dati successivi.
3. Il ruolo di diversi stati del TCP nella nostra analisi
Nel livello TCP c'è un campo FLAGS, che ha i seguenti identificatori: SYN, FIN, ACK, PSH, RST, URG. Tra questi, i primi cinque campi sono utili per la nostra analisi quotidiana. Essi significano quanto segue: SYN significa stabilire una connessione, FIN significa chiudere la connessione, ACK significa rispondere, PSH significa avere TRASFERIMENTO DATI e RST significa resettare la connessione. Tra queste, ACK può essere usato contemporaneamente a SYN, FIN, ecc., ad esempio, SYN e ACK possono essere 1 contemporaneamente, che rappresenta la risposta dopo aver stabilito una connessione; se è solo un singolo SYN, rappresenta solo l'instaurazione di una connessione. Le diverse strette di mano del TCP si manifestano attraverso tali ACK. Tuttavia, SYN e FIN non saranno uno contemporaneamente, perché il primo significa stabilire una connessione, mentre il secondo significa disconnettersi. RST appare solitamente dopo FIN a 1, indicando un reset della connessione. Generalmente, quando appare un pacchetto FIN o RST, presumiamo che il client sia disconnesso dal server. Quando appaiono i pacchetti SYN e SYN+ACK, pensiamo che il client abbia stabilito una connessione con il server. Il PSH di 1 appare generalmente solo nei pacchetti con contenuto DATI diverso da 0, il che significa che un PSH di 1 indica che il contenuto reale del pacchetto TCP viene trasmesso. L'istituzione e la chiusura della connessione TCP avvengono tramite un pattern richiesta-risposta
|
Pubblicato su 05/01/2015 12:10:05
|
|
|
