TCP 协议中 FLAG 的含义

最新推荐文章于 2024-05-01 18:17:23 发布
最新推荐文章于 2024-05-01 18:17:23 发布
阅读量3.8k 收藏 7
点赞数 1
分类专栏: 计算机网络
原文链接:http://www.360doc.com/content/15/0729/17/26875633_488185982.shtml
版权

文章目录

TCP FLAG 标记

TCP标记和他们的意义如下所列:

  • F:FIN - 结束;结束会话
  • S:SYN - 同步;表示开始会话请求
  • R:RST - 复位;中断一个连接
  • P:PUSH - 推送;数据包立即发送
  • A:ACK - 应答
  • U:URG - 紧急
  • E:ECE - 显式拥塞提醒回应
  • W:CWR - 拥塞窗口减少

TCP连接的三次握手

一个虚拟连接的建立是通过三次握手来实现的,具体步骤如下:

  1. (B) --> [SYN] --> (A)

    假如服务器A和客户机B通讯,当A要和B通信时,B首先向A发一个 SYN (Synchronize) 标记的包,告诉A请求建立连接。

    注意: 一个 SYN 包就是仅 SYN 标记设为1的 TCP 包(参见 TCP 包头 Resources),认识到这点很重要,只有当A受到B发来的 SYN 包,才可建立连接,除此之外别无他法。因此,如果你的防火墙丢弃所有的发往外网接口的 SYN 包,那么你将不能让外部任何主机主动建立连接。

  2. (B) <-- [SYN/ACK] <-- (A)

    接着,A收到后会发一个对 SYN 包的确认包 (SYN/ACK) 回去,表示对第一个 SYN 包的确认,并继续握手操作。

    注意: SYN/ACK 包是仅 SYN 和 ACK 标记为1的包。

  3. (B) --> [ACK] --> (A)

    B收到 SYN/ACK 包,B发一个确认包(ACK),通知A连接已建立。至此,三次握手完成,一个TCP连接完成。

    注意: ACK 包就是仅 ACK 标记设为1的 TCP 包,需要注意的是当三次握手完成、连接建立以后,TCP 连接的每个包都会设置ACK位,这就是为何连接跟踪很重要的原因了。没有连接跟踪,防火墙将无法判断收到的 ACK 包是否属于一个已经建立的连接,一般的包过滤 (Ipchains) 收到 ACK 包时,会让它通过(这绝对不是个好主意)。而当状态型防火墙收到此种包时,它会先在连接表中查找是否属于哪个已建连接,否则丢弃该包。

TCP断开的四次挥手

四次握手用来关闭已建立的TCP连接,步骤如下:

  1. (B) --> [ACK/FIN] --> (A)

  2. (B) <-- [ACK] <-- (A)

  3. (B) <-- [ACK/FIN] <-- (A)

  4. (B) --> [ACK] --> (A)

注意:由于 TCP 连接是双向连接,因此关闭连接需要在两个方向上做。ACK/FIN 包 (ACK 和 FIN 标记设为1) 通常被认为是 FIN (终结) 包,然而,由于连接还没有关闭,FIN 包总是打上 ACK 标记,没有 ACK 标记而仅有 FIN 标记的包不是合法的包,并且通常被认为是恶意的 。

连接复位

四次握手不是关闭 TCP 连接的唯一方法。有时,如果主机需要尽快关闭连接 (或连接超时、端口或主机不可达),RST (Reset) 包将被发送。

注意,由于 RST 包不是 TCP 连接中的必须部分,可以只发送 RST 包 (即不带 ACK 标记),但在正常的 TCP 连接中 RST 包可以带 ACK 确认标记。

请注意 RST 包是可以不要接收方确认的?

无效的TCP标记

到目前为止,你已经看到了 SYN, ACK, FIN 和 RST 标记,另外,还有 PSH (Push) 和 URG (Urgent) 标记。

  • 最常见的非法组合是 SYN/FIN 包,由于 SYN 包是用来初始化连接的,它不可能和 FIN 和 RST 标记一起出现,这是一个恶意攻击。
  • 别的一些组合,例如 SYN/FIN/PSH, SYN/FIN/RST, SYN/FIN/RST/PSH。很明显,当网络中出现这种包时,说明你的网络肯定受到了攻击。
  • 别的已知的非法包有 FIN (无ACK标记) 和 “NULL” 包。如同早先讨论的,由于 ACK/FIN 包的出现是为了关闭一个 TCP 连接,那么正常的 FIN 包总是带有 ACK 标记。“NULL” 包就是没有任何 TCP 标记的包 (URG, ACK, PSH, RST, SYN, FIN 都为0)。

到目前为止,正常的网络活动下,TCP 协议栈不可能产生带有上面提到的任何一种标记组合的 TCP 包。当你发现这些不正常的包时,肯定有人对你的网络不怀好意。

RST攻击

客户端 A 和服务器 B 之间建立了 TCP 连接,此时 C 伪造了一个 TCP 包发给 B,使 B 异常的断开了与 A 之间的 TCP 连接,就是 RST 攻击了。实际上从上面 RST 标志位的功能已经可以看出这种攻击如何达到效果了。

那么伪造什么样的 TCP 包可以达成目的呢?我们至顶向下的看。

假定 C 伪装成 A 发过去的包,这个包如果是 RST 包的话,毫无疑问,B 将会丢弃与 A 的缓冲区上所有数据,强制关掉连接。

如果发过去的包是 SYN 包,那么,B 会表示 A 已经发疯了(与OS的实现有关),正常连接时又来建新连接,B 主动向 A 发个 RST 包,并在自己这端强制关掉连接。

这两种方式都能够达到复位攻击的效果。似乎挺恐怖,然而关键是,如何能伪造成 A 发给 B 的包呢?这里有两个关键因素,源端口和序列号。

一个 TCP 连接都是四元组,由源IP、源端口、目标IP、目标端口唯一确定一个连接。所以,如果 C 要伪造 A 发给 B 的包,要在上面提到的 IP 头和 TCP 头,把源IP、源端口、目标IP、目标端口都填对。这里 B 作为服务器,IP 和端口是公开的,A 是我们要下手的目标,IP 当然知道,但 A 的源端口就不清楚了,因为这可能是 A 随机生成的。当然,如果能够对常见的 OS 如 windows 和 linux 找出生成 source port 规律的话,还是可以搞定的。

序列号问题是与滑动窗口对应的,伪造的 TCP 包里需要填序列号,如果序列号的值不在 A 之前向 B 发送时 B 的滑动窗口内,B 是会主动丢弃的。所以我们要找到能落到当时的 AB 间滑动窗口的序列号。这个可以暴力解决,因为一个 sequence 长度是32位,取值范围0-4294967296,如果窗口大小像上图中我抓到的 windows 下的65535的话,只需要相除,就知道最多只需要发65537 (4294967296 / 65535 = 65537) 个包就能有一个序列号落到滑动窗口内。RST 包是很小的,IP头+TCP头也才40字节,算算我们的带宽就知道这只需要几秒钟就能搞定。

那么,序列号不是问题,源端口会麻烦点,如果各个操作系统不能完全随机的生成源端口,或者黑客们能通过其他方式获取到 source port,RST 攻击易如反掌,后果很严重。

RST攻击的防御

对付这种攻击通过防火墙简单设置就可以了。建议使用防火墙将进来的包带 RST 位的包丢弃就可以了。

半砖
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP FLAG 标记
grmsu的专栏
07-29 2194
TCP FLAG 标记基于标记的TCP包匹配经常被用于过滤试图打开新连接的TCP数据包。TCP标记和他们的意义如下所列:* F : FIN - 结束; 结束会话* S : SYN - 同步; 表示开始会话请求* R : RST - 复位;断一个连接* P : PUSH - 推送
TCP协议详解之TCP Flag标志位来判断TCP会话的开始和结束
answer3lin的博客
12-06 2万+
首先回顾一下TCP标志位的具体含义TCP Flag标志位(控制位) 一个TCP包的详细内容: TCP FLAG 标记占1.5个byte,12bit(4bit+8bit,前半个byte与Header Length公用)。 12bit前三个bit是保留,默认为全0: 000. .... .... = Reserved: Not set 第4个bit为: ...0 ......
2024年网络安全CTF ——web_文件包含
最新发布
2401_84253037的博客
05-01 103
文件包含类型分为两种,一种是本地文件包含,另一种是远程文件包含。
TCP标志位详解(TCP Flag
热门推荐
探索世界,改变世界
09-14 4万+
TCP的Flag(标志位) 每个TCP段都有一个目的,这是借助于TCP标志选项来确定的,允许发送方或接收方指定哪些标志应该被使用,以便段被另一端正确处理。 您可以看到在3次握手(SYN,ACK)和数据传输期间使用的2个标志。 与所有标志一样,值“1”表示特定标志为“设置”,或者如果您喜欢,则为“开”。在此示例,只有“SYN”标志被设置,表示这是新的TCP连接的第一个段。 除此之外,每个标志长一位,由于有6个标志,所以标志部分总共6位。 最流行的标志是“SYN”,“ACK”和“FIN”,用于建立连接,确认成
TCP的几种flag
qq_28807077的博客
11-03 1406
TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG. 其,对于我们日常的分析有用的就是前面的五个字段。 它们的含义是: SYN表示建立连接, FIN表示关闭连接, ACK表示响应, PSH表示有 DATA数据传输, RST表示连接重置。 TCP包的类型 (SYN, FIN, ACK, PSH, RST, URG) 在TCP协议,rst段标识复位,用来异常的关闭连接。在TCP的设计它是不可或缺的,发送rst段关闭连接时,不必等缓冲区的数.
TCP: SYN ACK FIN RST PSH URG
weixin_30561425的博客
12-18 147
三次握手Three-way Handshake 一个虚拟连接的建立是通过三次握手来实现的 1. (B) --> [SYN] --> (A) 假如服务器A和客户机B通讯. 当A要和B通信时,B首先向A发一个SYN (Synchronize) 标记的包,告诉A请求建立连接. 注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resourc...
TCPIP协议数据报结构详解
02-01
为此,本文将利用 Sniffer 工具捕获了 FTP 命令操作过程的所有数据包,然后对 Sniffer 工具捕获的每一部分数据包的含义进行了详细的阐述,最后总结归纳出 TCP/IP 协议网络接口层、网络层、传输层的数据报文...
[原创]命令行下可以解读TCP数据报内容的Sniffer.docx
12-06
通过使用C语言编程,作者定义了两个结构体`IP_HEADER`和`TCP_HEADER`来分别表示IP头部和TCP头部,并详细解释了每个字段的含义。 1. IP_HEADER结构体: - `h_lenver`: 首部长度+版本号,4位 - `tos`: 服务类型TOS...
py代码-CTF的关于16进制代码
07-14
在CTF(Capture The Flag)比赛,Python代码经常被用于处理各种挑战,其包括与16进制编码相关的任务。16进制是一种数字表示法,它使用16个符号(0-9 和 A-F)来表示数值。在编程,16进制常用于数据表示,因为...
计算机网络课件:ch1 概述-2.ppt
09-21
例如,HDLC协议的Flag用于标识报文边界,BSC协议的SOH、STX和ETX指示报文起始和结束。协议的层次化设计允许不同层次的实体(对等体)按照各自层的协议进行通信,降低了复杂性,并且使各层能独立变化和发展。 ...
计算机网络实验5whireshark1
08-08
TCP 分析,我们可以看到客户端主机的 IP 地址是 192.168.4.26,端口号是 60820。服务器的 IP 地址是 202.205.18.194,发送和接收的端口号是 80。初始化 TCP 连接的 TCP SYN 报文段序号是 0,用标志位 1 来标识 ...
Wireshark文档阅读笔记-TCP Flags
IT1995的博客
01-27 2947
TCP flags是什么? TCP flags存在于TCP数据包,这个标志位暗示连接状态和一些额外的信息。这个标志位常用于故障诊断或是控制某种特定的连接下面介绍了TCP flags如:SYN、ACK、FIN。 List of TCP flags 每一个TCP flag的大小都是1bit。下面将介绍每一个标志位: SYN:同步标志位,用于2台主机要建立连接时,第一次发出的数据包,在TCP三次握手,前两次握手会带有SYN标志位,如上图的TCP三次握手。 ACK:确认位,用于说明前对方...
iptables之tcp flags
独孤柯灵的博客
11-24 6954
iptables之tcp flags
TCP 报文格式及TCP Flags
早起的鸟儿有虫吃的博客
03-24 1468
(一)前言 TCP 是一个基于连接的四层协议,提供全双工地,可靠地传输系统。它能够保证数据被远程主机接收。并且能够为高层协议提供flow-controlled 服务。 (二)TCP 报文格式(rfc793) 各个Field说明: 源端口(Source Port):长度为16 bits(2个字节)。源端口。 目的端口(Destination Port):长...
TCP Flag总结
A_nongfu的专栏
09-29 1297
TCP协议状态总结 以前的业务主要是集于UDP的通信方式,最近在使用TCP协议过程,遇到一些问题。.例如:   现将TCP的各个状态总结一下。   1、  TCP协议状态的存储位置 首先,看一下IP数据包的格式图: 其次,TCP数据段的歌诗图:            2、  各个Flag位状态含义 标记(TCPDump缩写) 3字
Linux iptables之TCP filter分析--tcp-flags --fragment简单分析
我心如水
06-09 7210
Iptables可通过匹配TCP的特定标志而设定更加严谨的防火墙规则,tcp-flags参数使用如下: 1 2 3 4 5 6 -p tcp --tcp-flags #匹配指定的TCP标记,有两个参数列表,列表内部用逗号为分隔符,两个列表之间用空格分开。 #第一个列表用作参数检查,第二个列表用作参数匹配。
TCP的几种状态: (SYN, FIN, ACK, PSH, RST, URG)
weixin_33989058的博客
06-16 452
2019独角兽企业重金招聘Python工程师标准>>> ...
TCP Flags标志位介绍
网络资源是无限的
04-10 1万+
传输控制协议(Transmission Control Protocol,TCP)是一种传输层协议TCP使数据包从源到目的地的传输更加顺畅。它是一种面向连接的端到端协议。每个数据包由TCP包裹在一个报头,该报头由10个强制字段共20个字节和一个0到40 字节的可选数据字段组成。如下图所示:来自于https://www.geeksforgeeks.org 1.源端口号(Source Port):16bits,该字段标识发送方应用程序的端口号。 2.目...
RFC
编程菜鸟---正在努力进阶
04-09 696
http://www.cnpaf.net/class/rfcall/ http://www.rfc-editor.org/cgi-bin/rfcsearch.pl
tcp协议的RTT是什么
06-10
TCP协议,RTT(Round-Trip Time)指的是一个数据包从发送方到接收方再返回发送方所需要的时间。RTT是TCP协议一个重要的性能指标,也是TCP拥塞控制算法的关键参数。 TCP协议的拥塞控制算法需要根据网络的拥塞程度来动态地调整拥塞窗口的大小,以避免网络拥塞。而网络的拥塞程度通常是通过RTT来估计的。发送方在发送数据时,会记录下每个数据包的发送时间戳,接收方在接收到数据包后会向发送方发送一个确认ACK,其包含了接收到数据的时间戳。发送方根据这些时间戳来计算出数据包的RTT,然后根据RTT的大小来估计网络的拥塞程度。 TCP协议的拥塞控制算法根据RTT的大小来调整拥塞窗口的大小,以避免网络拥塞。例如,在TCP的慢启动算法,发送方会根据RTT的大小来控制拥塞窗口的增长速率,从而避免网络拥塞。在拥塞避免算法,发送方也会根据RTT的大小来调整拥塞窗口的大小,以保持网络的稳定性。 总之,RTT是TCP协议一个重要的性能指标,它对TCP连接的可靠性和性能有着重要的影响。TCP协议的拥塞控制算法需要根据RTT的大小来动态地调整拥塞窗口的大小,以避免网络拥塞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值