1. TCP treveis håndtrykk
Avsender sender en pakke med SYN=1 og ACK=0-flagget til mottakeren, og ber om tilkobling, som er det første håndtrykket. Hvis mottakeren mottar forespørselen og tillater tilkoblingen, vil den sende en pakke med SYN=1- og ACK=1-flagget til avsenderen, og fortelle at den kan kommunisere, og be avsenderen sende en bekreftelsespakke, som er det andre håndtrykket. Til slutt sender avsenderen en pakke med SYN=0 og ACK=1 til mottakeren, og forteller at forbindelsen er bekreftet, som er det tredje håndtrykket. Etter det etableres en TCP-forbindelse og kommunikasjonen begynner.
2. Flagginformasjon i TCP-pakken
*SYN: Synkroniseringsflagg
Feltet Synkroniser sekvensnumre er gyldig. Dette flagget er kun gyldig når en TCP-tilkobling etableres under et trippel håndtrykk. Den ber serveren til TCP-tilkoblingen om å sjekke serienummeret, som er det opprinnelige sekvensnummeret til den opprinnelige TCP-tilkoblingen (vanligvis klienten). Her kan TCP-sekvensnummeret betraktes som en 32-bits teller som strekker seg fra 0 til 4 294 967 295. Hver byte data som utveksles over en TCP-tilkobling er sekvensert. Kolonnen med sekvensnummer i TCP-headeren inneholder sekvensnummeret til den første byten i TCP-segmentet.
*ACK: Bekreftelsesflagg
Feltet for bekreftelsesnummer er gyldig. Som oftest er flaggbiten plassert. Bekreftelsesnummeret (w+1, figur-1) som finnes i bekreftelsesnummerkolonnen i TCP-headeren er neste forventede sekvensnummer, og den eksterne enden er angittSystemAlle data er mottatt med suksess.
*RST: Tilbakestillingsflagg
Tilbakestillingstegnet er gyldig. Brukes til å tilbakestille den tilsvarende TCP-tilkoblingen.
*URG: Nødsignal
Tegn på hastepeker er gyldig. Plassering av nødskilt,
*PSH: Push-logo
Når flagget plasseres, setter ikke mottakeren dataene i kø, men overfører dataene til applikasjonen så raskt som mulig. Flagget settes alltid når man håndterer tilkoblinger i interaksjonsmoduser som telnet eller rlogin.
*FIN: Slutt på skilt
Pakken med dette flagget brukes til å avslutte en TCP-callback, men porten er fortsatt åpen for å motta påfølgende data.
3. Rollen til flere tilstander av TCP i vår analyse
I TCP-laget finnes det et FLAGS-felt, som har følgende identifikatorer: SYN, FIN, ACK, PSH, RST, URG. Blant dem er de fem første feltene nyttige for vår daglige analyse. De betyr følgende: SYN betyr å etablere en forbindelse, FIN betyr å lukke forbindelsen, ACK betyr å svare, PSH betyr å ha DATA-overføring, og RST betyr tilkoblingstilbakestilling. Blant dem kan ACK brukes samtidig som SYN, FIN osv., for eksempel kan SYN og ACK være 1 samtidig, som representerer responsen etter å ha etablert en forbindelse; hvis det bare er en enkelt SYN, representerer det kun etableringen av en forbindelse. TCPs flere håndtrykk manifesteres gjennom slike ACK-er. Men SYN og FIN vil ikke være 1 samtidig, fordi førstnevnte betyr å etablere en forbindelse, mens sistnevnte betyr å koble fra. RST vises vanligvis etter FIN til 1, noe som indikerer en tilbakestilling av forbindelsen. Generelt, når en FIN-pakke eller en RST-pakke dukker opp, antar vi at klienten er koblet fra serveren. Når SYN- og SYN+ACK-pakker dukker opp, tror vi at klienten har etablert en forbindelse med serveren. PSH på 1 forekommer vanligvis bare i pakker med ikke-0 DATA-innhold, noe som betyr at PSH på 1 betyr at ekte TCP-pakkeinnhold blir sendt. TCP-tilkoblingsetablering og tilkoblingslukking skjer gjennom et forespørsel-svar-mønster
|
Publisert på 05.01.2015 12:10:05
|
|
|
