1. TCP trosmerni rokovanje
Pošiljatelj pošlje paket z zastavico SYN=1 in ACK=0 prejemniku ter zahteva povezavo, kar je prvi stik roke. Če prejemnik prejme zahtevo in dovoli povezavo, pošlje paket z zastavicama SYN=1 in ACK=1 pošiljatelju, mu sporoči, da lahko komunicira, in ga prosi, naj pošlje potrditveni paket, kar je drugi handshake. Nazadnje pošiljatelj pošlje paket s SYN=0 in ACK=1 prejemniku, s čimer sporoči, da je povezava potrjena, kar je tretji handshake. Nato se vzpostavi TCP povezava in začne komunikacija.
2. Informacije o zastavici v TCP paketu
*SYN: Zastavica sinhronizacije
Polje Synchronize Sequence Numbers je veljavno. Ta zastavica velja le, ko je TCP povezava vzpostavljena med trojnim ročnim stiskom. Strežnik TCP povezave preveri serijsko številko, ki je začetna zaporedna številka začetne TCP povezave (običajno odjemalca). Tukaj lahko TCP zaporedno številko razumemo kot 32-bitni števec od 0 do 4.294.967.295. Vsak bajt podatkov, ki se izmenjuje prek TCP povezave, je sekvenciran. Stolpec zaporednih številk v TCP glavi vsebuje zaporedno številko prvega bajta v TCP segmentu.
*ACK: Potrditvena zastava
Polje Številka potrditve je veljavno. Večinoma je zastavica postavljena. Potrditvena številka (w+1, Slika-1), ki je v stolpcu potrditvene številke v TCP glavi, je naslednja pričakovana zaporedna številka, oddaljeni konec pa je označenSistemVsi podatki so bili uspešno prejeti.
*RST: Ponastavitev zastavice
Znak za ponastavitev je veljaven. Uporablja se za ponastavitev ustrezne TCP povezave.
*URG: Znak za nujne primere
Znak nujnosti je veljaven. Postavitev znaka za nujne primere,
*PSH: Push logotip
Ko je zastavica postavljena, prejemnik podatkov ne postavi v vrsto, ampak jih čim hitreje prenese aplikaciji. Zastavica je vedno nastavljena pri povezavah v načinih interakcije, kot sta telnet ali rlogin.
*FIN: Končni znak
Paket s to zastavico se uporabi za zaključek TCP povratnega klica, vendar je port še vedno odprt za sprejem nadaljnjih podatkov.
3. Vloga več stanj TCP v naši analizi
V TCP plasti je polje FLAGS, ki ima naslednje identifikatorje: SYN, FIN, ACK, PSH, RST, URG. Med njimi je prvih pet polj uporabnih za našo dnevno analizo. Pomenijo naslednje: SYN pomeni vzpostaviti povezavo, FIN pomeni zapreti povezavo, ACK pomeni odgovoriti, PSH pomeni prenos PODATKOV, RST pa pomeni ponastavitev povezave. Med njimi se lahko ACK uporablja hkrati s SYN, FIN itd., na primer SYN in ACK sta lahko hkrati 1, kar predstavlja odziv po vzpostavitvi povezave; če gre le za en SYN, predstavlja le vzpostavitev povezave. Več TCP-jevih rokovanja se manifestira skozi takšne ACK-je. Vendar SYN in FIN ne bosta enaka hkrati, saj prvi pomeni vzpostavitev povezave, drugi pa pomeni prekinitev povezave. RST se običajno pojavi po FIN na 1, kar pomeni ponastavitev povezave. Na splošno, ko se pojavi FIN ali RST paket, predpostavimo, da je odjemalec odklopljen od strežnika. Ko se pojavijo paketi SYN in SYN+ACK, menimo, da je odjemalec vzpostavil povezavo s strežnikom. PSH 1 se običajno pojavi le v paketih z ne-0 vsebino DATA, kar pomeni, da PSH 1 pomeni, da se prenaša prava TCP vsebina paketov. Vzpostavljanje in zapiranje TCP povezave potekata po vzorcu zahteve-odgovor
|
Objavljeno na 5. 01. 2015 12:10:05
|
|
|
