1. TCP тристороннє рукостискання
Відправник надсилає отримувачу пакет із прапорцями SYN=1 і ACK=0, запитуючи з'єднання, яке є першим рукостисканням. Якщо отримувач отримує запит і дозволяє з'єднання, він надсилає відправнику пакет із прапорцями SYN=1 і ACK=1, повідомляючи, що може спілкуватися, і просить відправника надіслати пакет підтвердження — це є друге рукостискання. Нарешті, відправник надсилає отримувачу пакет із SYN=0 і ACK=1, повідомляючи, що з'єднання підтверджено — це вже третє рукостискання. Після цього встановлюється TCP-з'єднання і починається комунікація.
2. Інформація про позначення у пакеті TCP
*SYN: Прапорець синхронізації
Поле Синхронізація послідовних номерів є дійсним. Цей прапорець дійсний лише тоді, коли TCP-з'єднання встановлено під час потрійного рукостискання. Він просить сервер TCP-з'єднання перевірити серійний номер, який є початковим послідовним номером початкового TCP-з'єднання (зазвичай клієнта). Тут послідовний номер TCP можна уявити як 32-бітний лічильник у діапазоні від 0 до 4 294 967 295. Кожен байт даних, що обмінюється через TCP-з'єднання, послідовний. Стовпець послідовного номера в заголовку TCP містить номер послідовності першого байта сегмента TCP.
*ACK: Прапор підтвердження
Поле підтвердження номера є дійсним. Зазвичай прапорець ставиться на місце. Номер підтвердження (w+1, Рисунок 1), що міститься у стовпці номера підтвердження в заголовку TCP, є наступним очікуваним послідовним номером, і вказано віддалений кінецьСистемаВсі дані були успішно отримані.
*RST: Прапорець скидання
Знак скидання дійсний. Використовується для скидання відповідного TCP-з'єднання.
*URG: Аварійний знак
Знак термінового вказівника дійсний. Розміщення аварійного знака,
*ПШ: Push логотип
Коли прапорець встановлено, отримувач не ставить дані в чергу, а передає їх до додатку якомога швидше. Прапорець завжди встановлюється при роботі з підключеннями в режимах взаємодії, таких як telnet або rlogin.
*ФІН: Знак кінця
Пакет із цим прапорцем використовується для завершення TCP-зворотного виклику, але порт залишається відкритим для отримання наступних даних.
3. Роль кількох станів TCP у нашому аналізі
У TCP-шарі є поле FLAGS, яке має такі ідентифікатори: SYN, FIN, ACK, PSH, RST, URG. Серед них перші п'ять полів корисні для нашого щоденного аналізу. Вони означають наступне: SYN означає встановлення з'єднання, FIN — закриття з'єднання, ACK — реагувати, PSH — передача даних, а RST — скидання з'єднання. Серед них ACK може використовуватися одночасно з SYN, FIN тощо, наприклад, SYN і ACK можуть бути 1 одночасно, що означає відповідь після встановлення з'єднання; якщо це лише один SYN, то лише встановлення з'єднання. Кілька рукостискань TCP проявляються через такі ACK. Однак SYN і FIN не будуть одночасно 1, оскільки перший означає встановлення з'єднання, а друге — роз'єднання. RST зазвичай з'являється після FIN до 1, що означає скидання з'єднання. Зазвичай, коли з'являється пакет FIN або пакет RST, ми вважаємо, що клієнт відключений від сервера. Коли з'являються пакети SYN та SYN+ACK, ми вважаємо, що клієнт встановив з'єднання з сервером. PSH 1 зазвичай з'являється лише в пакетах із не-0 вмістом даних, що означає, що PSH 1 означає, що передається реальний TCP-пакет. Встановлення та закриття TCP-з'єднання здійснюється через шаблон запит-відповідь
|
Опубліковано 05.01.2015 12:10:05
|
|
|
