1. TCP trojcestné podanie ruky
Odosielateľ odošle prijímateľovi paket s príznakmi SYN=1 a ACK=0, pričom požiada o spojenie, čo je prvé handshake. Ak prijímateľ prijme požiadavku a povolí spojenie, pošle odosielateľovi paket s príznakmi SYN=1 a ACK=1, v ktorom mu oznámi, že môže komunikovať, a žiada odosielateľa o odoslanie potvrdzovacieho paketu, čo je druhý handshake. Nakoniec odosielateľ odošle prijímateľovi paket so SYN=0 a ACK=1, čím oznámi, že spojenie bolo potvrdené, čo je tretí handshake. Potom sa nadviaže TCP spojenie a začína komunikácia.
2. Informácie o vlajke v TCP balíku
*SYN: Príznak synchronizácie
Pole Synchronize Sequence Numbers je platné. Tento príznak je platný len vtedy, keď je TCP spojenie nadviazané počas trojitého handshake. Vyzve server TCP spojenia, aby skontroloval sériové číslo, čo je počiatočné poradové číslo počiatočného TCP pripojenia (zvyčajne klienta). Tu možno TCP sekvenčné číslo chápať ako 32-bitový čítač v rozsahu od 0 do 4 294 967 295. Každý bajt dát vymenený cez TCP spojenie je sekvenovaný. Stĺpec poradového čísla v TCP hlavičke obsahuje poradové číslo prvého bajtu v TCP segmente.
*ACK: Potvrdenie
Pole Číslo potvrdenia je platné. Väčšinou je vlajková časť umiestnená. Potvrdzovacie číslo (w+1, Obrázok-1) uvedené v stĺpci potvrdzovacieho čísla v TCP hlavičke je nasledujúce očakávané poradové číslo a vzdialený koniec je označenýSystémVšetky údaje boli úspešne prijaté.
*RST: Resetovať vlajku
Znak reset je platný. Používa sa na resetovanie príslušného TCP spojenia.
*NALIEHAVÉ: Núdzový signál
Urgentný ukazovateľ je platný. Umiestnenie núdzových znamení,
*PSH: Push logo
Keď je príznak umiestnený, prijímač dáta nezaradí do fronty, ale čo najrýchlejšie ich prenesie do aplikácie. Príznak je vždy nastavený pri riešení spojení v režimoch interakcie, ako sú telnet alebo rlogin.
*FIN: Koniec značky
Paket s týmto príznakom sa použije na ukončenie TCP spätného volania, ale port je stále otvorený na prijímanie ďalších dát.
3. Úloha viacerých stavov TCP v našej analýze
V TCP vrstve je pole FLAGS, ktoré má nasledujúce identifikátory: SYN, FIN, ACK, PSH, RST, URG. Medzi nimi je týchto prvých päť polí užitočných pre našu každodennú analýzu. Znamenajú nasledovné: SYN znamená nadviazanie spojenia, FIN znamená uzavretie spojenia, ACK znamená reagovať, PSH znamená prenos DÁT a RST znamená obnovenie spojenia. Medzi nimi sa ACK môže používať súčasne so SYN, FIN a podobne, napríklad SYN a ACK môžu byť naraz 1, čo predstavuje odpoveď po nadviazaní spojenia, ak ide len o jeden SYN, predstavuje len nadviazanie spojenia. Viaceré podania rúk TCP sa prejavujú prostredníctvom takýchto ACK. Avšak SYN a FIN nebudú naraz 1, pretože prvý znamená nadviazanie spojenia, zatiaľ čo druhý znamená odpojenie. RST sa zvyčajne objavuje po FIN na 1, čo znamená resetovanie spojenia. Vo všeobecnosti, keď sa objaví FIN alebo RST paket, predpokladáme, že klient je odpojený od servera. Keď sa objavia balíky SYN a SYN+ACK, myslíme si, že klient nadviazal spojenie so serverom. PSH 1 sa zvyčajne objavuje iba v paketoch s obsahom ne-0 DATA, čo znamená, že PSH 1 znamená, že skutočný obsah TCP paketov je odovzdaný. Nadväzovanie a uzatváranie TCP spojenia prebieha prostredníctvom vzoru požiadavka-odpoveď
|
Zverejnené 5. 1. 2015 12:10:05
|
|
|
