1. TCP trevägs handskakning
Sändaren skickar ett paket med flaggan SYN=1 och ACK=0 till mottagaren och begär en anslutning, vilket är det första handskakningen. Om mottagaren tar emot förfrågan och tillåter anslutningen, skickar den ett paket med flaggan SYN=1 och ACK=1 till avsändaren, där den får kommunicera och ber avsändaren att skicka ett bekräftelsepaket, vilket är det andra handskakningen. Slutligen skickar avsändaren ett paket med SYN=0 och ACK=1 till mottagaren, och meddelar att anslutningen har bekräftats, vilket är den tredje handskakningen. Efter det etableras en TCP-anslutning och kommunikationen börjar.
2. Flagga information i TCP-paketet
*SYN: Synkroniseringsflagga
Fältet Synkronisera sekvensnummer är giltigt. Denna flagga gäller endast när en TCP-anslutning upprättas under en trippel handskakning. Den uppmanar servern för TCP-anslutningen att kontrollera serienumret, vilket är det initiala sekvensnumret för den initiala TCP-anslutningen (vanligtvis klienten). Här kan TCP-sekvensnumret betraktas som en 32-bitars räknare som sträcker sig från 0 till 4 294 967 295. Varje byte data som utbyts över en TCP-anslutning är sekvenserad. Sekvensnummerkolumnen i TCP-headern innehåller sekvensnumret för den första byten i TCP-segmentet.
*ACK: Bekräftelseflagga
Fältet för bekräftelsenummer är giltigt. Oftast placeras flaggbiten. Bekräftelsenumret (w+1, figur-1) som finns i bekräftelsenummerkolumnen i TCP-headern är nästa förväntade sekvensnummer, och fjärränden angesSystemAll data har mottagits framgångsrikt.
*RST: Återställ flaggan
Återställningssignalen är gald. Används för att återställa motsvarande TCP-anslutning.
*URG: Nödtecken
Tecken på brådskande pekare är väl. Placering av nödtecken,
*PSH: Push-logotyp
När flaggan placeras köar inte mottagaren datan, utan överför den till applikationen så snabbt som möjligt. Flaggan sätts alltid när man hanterar anslutningar i interaktionslägen som telnet eller rlogin.
*FIN: Sluttecken
Paketet med denna flagga används för att avsluta en TCP-callback, men porten är fortfarande öppen för att ta emot efterföljande data.
3. Flera tillstånds roll för TCP i vår analys
I TCP-lagret finns ett FLAGS-fält, som har följande identifierare: SYN, FIN, ACK, PSH, RST, URG. Bland dessa är de fem första fälten användbara för vår dagliga analys. De betyder följande: SYN betyder att etablera en anslutning, FIN betyder att stänga anslutningen, ACK betyder att svara, PSH betyder att ha DATA-överföring, och RST betyder anslutningsåterställning. Bland dessa kan ACK användas samtidigt som SYN, FIN, etc., till exempel kan SYN och ACK vara 1 samtidigt, vilket representerar svaret efter att en anslutning upprättats; om det bara är en enda SYN, representerar det endast upprättandet av en anslutning. TCP:s flera handskakningar manifesteras genom sådana ACK:er. Dock kommer SYN och FIN inte att vara 1 samtidigt, eftersom den förstnämnda betyder att etablera en anslutning, medan den senare betyder att koppla bort. RST visas vanligtvis efter FIN till 1, vilket indikerar en anslutningsåterställning. Generellt, när ett FIN-paket eller ett RST-paket dyker upp, antar vi att klienten är frånkopplad från servern. När SYN- och SYN+ACK-paket dyker upp tror vi att klienten har etablerat en anslutning med servern. PSH på 1 förekommer generellt bara i paket med icke-0 DATA-innehåll, vilket innebär att PSH 1 betyder att verkligt TCP-paketinnehåll skickas vidare. TCP-anslutningsetablering och anslutningsstängning sker genom ett request-response-mönster
|
Publicerad på 2015-01-05 12:10:05
|
|
|
