1. TCP 3자 핸드셰이크
송신자는 SYN=1, ACK=0 플래그가 있는 패킷을 수신자에게 보내 연결을 요청하며, 이것이 첫 번째 핸드셰이크입니다. 수신자가 요청을 받고 연결을 허용하면, SYN=1과 ACK=1 플래그가 있는 패킷을 송신자에게 보내 통신 가능함을 알리고, 두 번째 핸드셰이크인 확인 패킷을 보내달라고 요청합니다. 마지막으로 송신자는 SYN=0, ACK=1의 패킷을 수신자에게 보내 연결이 확인되었음을 알리며, 이것이 세 번째 핸드셰이크입니다. 그 후 TCP 연결이 구축되고 통신이 시작됩니다.
2. TCP 패키지 내 플래그 정보
*SYN: 동기화 플래그
Synchronize Sequence Numbers(시퀀스 번호 동기화) 필드는 유효합니다. 이 플래그는 트리플 핸드셰이크 중에 TCP 연결이 확립될 때만 유효합니다. TCP 연결 서버에 일련번호를 확인하라고 안내하는데, 이는 초기 TCP 연결(보통 클라이언트)의 초기 시절 번호입니다. 여기서 TCP 시퀀스 번호는 0에서 4,294,967,295까지 범위의 32비트 카운터로 생각할 수 있습니다. TCP 연결을 통해 교환되는 모든 바이트의 데이터 시퀀스가 있습니다. TCP 헤더의 시퀀스 번호 열에는 TCP 세그먼트의 첫 바이트 시큐멘트 번호가 포함되어 있습니다.
*ACK: 확인 깃발
확인 번호 필드는 유효합니다. 대부분의 경우, 플래그 부분이 설치되어 있습니다. TCP 헤더의 확인 번호 열에 포함된 확인 번호(w+1, 그림 1)는 다음 예상 시퀀스 번호이며, 원격 종단은 표시됩니다시스템모든 데이터가 성공적으로 수신되었습니다.
*RST: 리셋 플래그
리셋 사인은 유효합니다. 해당 TCP 연결을 재설정하는 데 사용됩니다.
*URG: 비상 표지판
긴급 포인터 표지판은 유효합니다. 비상 표지판 설치,
*PSH: 푸시 로고
플래그가 설치되면 수신자는 데이터를 큐에 넣지 않고 가능한 한 빠르게 애플리케이션으로 데이터를 전송합니다. 텔넷이나 로깅과 같은 상호작용 모드의 연결을 처리할 때는 항상 플래그가 설정됩니다.
*핀: 끝 표지판
이 플래그가 붙은 패킷은 TCP 콜백을 종료하는 데 사용되지만, 포트 자체는 후속 데이터를 수신하기 위해 열려 있습니다.
3. 분석에서 TCP의 여러 상태가 차지하는 역할
TCP 계층에는 다음과 같은 식별자를 가진 FLAGS 필드가 있으며, SYN, FIN, ACK, PSH, RST, URG. 이 중 처음 다섯 필드는 일상 분석에 유용합니다. 이들은 다음과 같은 의미를 가집니다: SYN은 연결을 구축하는 것, FIN은 연결을 닫는 것, ACK는 응답을 의미하고, PSH는 데이터 전송을 하며, RST는 연결 재설정을 의미합니다. 이 중 ACK는 SYN, FIN 등과 동시에 사용할 수 있습니다. 예를 들어, SYN과 ACK가 동시에 1일 수 있는데, 이는 연결을 구축한 후의 응답을 나타내지만, 단일 SYN일 경우 연결 구축만을 나타냅니다. TCP의 여러 핸드셰이크는 이러한 ACK를 통해 나타납니다. 하지만 SYN과 FIN은 동시에 1이 되지 않는데, 전자는 연결을 구축하는 것이고, 후자는 연결을 끊는 것을 의미하기 때문입니다. RST는 보통 FIN이 1로 가면 연결 재설정을 나타냅니다. 일반적으로 FIN 패킷이나 RST 패킷이 나타나면, 클라이언트가 서버에서 연결이 끊겼다고 가정합니다. SYN과 SYN+ACK 패키지가 나타나면, 클라이언트가 서버와 연결을 구축했다고 생각합니다. PSH 1은 일반적으로 DATA 내용이 0이 아닌 패킷에서만 나타나며, 이는 실제 TCP 패킷 내용이 전달되고 있음을 의미합니다. TCP 연결 설정과 연결 종료는 요청-응답 패턴을 통해 이루어집니다
|
게시됨 2015. 1. 5. 오후 12:10:05
|
|
|
