TCP: SYN ACK FIN RST PSH URG

Xiaobo Sun — Thu, 07 Aug 2008 08:20:00 GMT

三次握手Three-way Handshake

一个虚拟连接的建立是通过三次握手来实现的

1. (B) --> [SYN] --> (A)

假如服务器A和客��h��B通讯. 当A要和B通信�Ӟ��B首先向A发一个SYN (Synchronize) 标记的包�Q�告诉A��h��建立�q�接.

注意: 一�?SYN包就是仅SYN标记设�ؓ1的TCP�?参见TCP包头Resources). 认识到这点很重要�Q�只有当A受到B发来的SYN包，才可建立�q�接�Q�除此之外别无他法。因此，如果你的防火墙丢弃所有的发往外网接口的SYN包，那么你将�? 能让外部��M��L��d��建立�q�接�?

2. (B) <-- [SYN/ACK] <--(A)

接着�Q�A收到后会发一个对SYN包的��认�?SYN/ACK)回去�Q�表�C�对�W�一个SYN包的��认�Q��ƈ�l�箋握手操作.

注意: SYN/ACK包是仅SYN �?ACK 标记�?的包.

3. (B) --> [ACK] --> (A)

B收到SYN/ACK �?B发一个确认包(ACK)�Q�通知A�q�接已徏立。至此，三次握手完成�Q�一个TCP�q�接完成

Note: ACK包就是仅ACK 标记设�ؓ1的TCP�? 需要注意的是当三此握手完成、连接徏立以后，TCP�q�接的每个包都会讄��ACK�?

�q�就是�ؓ何连接跟�t�很重要的原因了. 没有�q�接跟踪,防火墙将无法判断收到的ACK包是否属于一个已�l�徏立的�q�接.一般的包过�?Ipchains)收到ACK包时,会让它通过(�q�绝对不是个好主�?. 而当状态型防火墙收到此�U�包�Ӟ��它会先在�q�接表中查找是否属于哪个已徏�q�接�Q�否则丢弃该�?

四次握手Four-way Handshake

四次握手用来关闭已徏立的TCP�q�接

1. (B) --> ACK/FIN --> (A)

2. (B) <-- ACK <-- (A)

3. (B) <-- ACK/FIN <-- (A)

4. (B) --> ACK --> (A)

注意: �׃��TCP�q�接是双向连�? 因此关闭�q�接需要在两个方向上做。ACK/FIN �?ACK 和FIN 标记设�ؓ1)通常被认为是FIN(�l�结)�?然�? �׃��q�接�q�没有关�? FIN包��L��打上ACK标记. 没有ACK标记而仅有FIN标记的包不是合法的包�Q��ƈ且通常被认为是恶意�?

�q�接复位Resetting a connection

四次握手不是关闭TCP�q�接的唯一�Ҏ��. 有时,如果��L��需要尽快关闭连�?或连接超�?端口或主��Z��可达),RST (Reset)包将被发�? 注意在，�׃��RST包不是TCP�q�接中的必须部分, 可以只发送RST�?即不带ACK标记). 但在正常的TCP�q�接中RST包可以带ACK��认标记

��h��意RST包是可以不要收到方确认的?

无效的TCP标记Invalid TCP Flags

到目前�ؓ止，你已�l�看��C�� SYN, ACK, FIN, 和RST 标记. 另外�Q�还有PSH (Push) 和URG (Urgent)标记.

最常见的非法组合是SYN/FIN �? 注意:�׃�� SYN包是用来初始化连接的, 它不可能�?FIN和RST标记一起出�? �q�也是一个恶意攻�?

�׃��现在大多数防火墙已知 SYN/FIN �? 别的一些组�?例如SYN/FIN/PSH, SYN/FIN/RST, SYN/FIN/RST/PSH。很明显�Q�当�|�络中出现这�U�包�Ӟ��很你的网�l�肯定受到攻��M��?

别的已知的非法包有FIN (无ACK标记)�?NULL"包。如同早先讨论的�Q�由于ACK/FIN包的出现是�ؓ了关闭一个TCP�q�接�Q�那么正常的FIN包��L��带有 ACK 标记�?NULL"包就是没有�Q何TCP标记的包(URG,ACK,PSH,RST,SYN,FIN都�ؓ0)�?

到目前�ؓ止，正常的网�l�活动下�Q�TCP协议栈不可能产生带有上面提到的�Q何一�U�标记组合的TCP包。当你发现这些不正常的包�Ӟ��肯定有�h对你的网�l�不怀好意�?

UDP (用户数据包协议User Datagram Protocol)
TCP是面向连接的�Q�而UDP是非�q�接的协议。UDP没有�Ҏ��受进行确认的标记和确认机制。对丢包的处理是在应用层来完成的�?or accidental arrival).

此处需要重�Ҏ��意的事情是：在正常情况下�Q�当UDP包到达一个关闭的端口�Ӟ��会返回一个UDP复位包。由于UDP是非面向�q�接�? 因此没有��M��认信息来确认包是否正确到达目的地。因此如果你的防火墙丢弃UDP包，它会开放所有的UDP端口(?)�?

�׃��Internet上正常情况下一些包��被丢弃�Q�甚��x��些发往已关闭端�?非防火墙�?的UDP包将不会到达目的�Q�它们将�q�回一个复位UDP包�?

因�ؓ�q�个原因�Q�UDP端口扫描��L��不精��、不可靠的�?

看�v来大UDP包的��片是常见的DOS (Denial of Service)��d��的常见�Ş�?(�q�里有个DOS��d��的例子，http://grc.com/dos/grcdos.htm ).

ICMP (�|�间控制消息协议Internet Control Message Protocol)
如同名字一��P�� ICMP用来在主�?路由器之间传递控制信息的协议�?ICMP包可以包含诊断信�?ping, traceroute - 注意目前unix�pȝ��中的traceroute用UDP包而不是ICMP)�Q�错误信�?�|�络/��L��/端口不可�?network/host/port unreachable), 信息(旉��戳timestamp, 地址掩码address mask request, etc.)�Q�或控制信息 (source quench, redirect, etc.) �?

你可以在http://www.iana.org/assignments/icmp-parameters中找到ICMP包的�c�d��?

��管ICMP通常是无害的�Q�还是有些类型的ICMP信息需要丢弃�?

Redirect (5), Alternate Host Address (6), Router Advertisement (9) 能用来�{发通讯�?

Echo (8), Timestamp (13) and Address Mask Request (17) 能用来分别判断主机是否�v来，本地旉�� 和地址掩码。注意它们是和返回的信息�c�d��有关的�? 它们自己本��n是不能被利用的，但它们泄露出的信息对��d��者是有用的�?

ICMP消息有时也被用来作�ؓDOS��d��的一部分(例如�Q�洪水ping flood ping,�?ping ?呵呵�Q�有��?ping of death)?/p>

包碎片注意A Note About Packet Fragmentation

如果一个包的大��超�q�了TCP的最大段长度MSS (Maximum Segment Size) 或MTU (Maximum Transmission Unit)�Q�能够把此包发往目的的唯一�Ҏ��是把此包分片。由于包分片是正常的�Q�它可以被利用来做恶意的��d��?

因�ؓ分片的包的第一个分片包含一个包��_��若没有包分片的重�l�功能，包过滤器不可能检��附加的包分片。典型的��d��Typical attacks involve in overlapping the packet data in which packet header is 典型的攻击Typical attacks involve in overlapping the packet data in which packet header isnormal until is it overwritten with different destination IP (or port) thereby bypassing firewall rules。包分片能作�?DOS ��d��的一部分�Q�它可以crash older IP stacks 或涨死CPU�q�接能力�?

Netfilter/Iptables中的�q�接跟踪代码能自动做分片重组。它仍有��q��Q�可能受到饱和连接攻击，可以把CPU资源耗光�?/cn>

Xiaobo Sun 2008-08-07 16:20 发表评论

www国产亚洲精品,精品久久久久久久久久ntr影视,亚洲国产精品久久久

TCP: SYN ACK FIN RST PSH URG