tcp 标志位:
SYN 建立连接
ACK 确认 确认号
FIN 结束 四次握手连接释放
PSH 传送
当两个进程使用交互通信时,希望键入一个消息后立即收到对方的响应,在这种情况下 PSH 置 1 表明立即发送报文段RST 重置
表明 TCP 连接出现严重差错(如由于主机崩溃或其它原因),必须释放连接,然后重新建立连接。还用来拒绝一个非法的报文段或拒绝打开一个连接URG 紧急
紧急数据,立即传送。不需要按照原来的排列顺序。
端口扫描
秘密扫描:不被审计工具所检测的扫描技术。
- connect 扫描
三次握手完成,容易被防火墙和 IDS 检测,会留下日志记录。
端口关闭:server 返回 RST/ACK,表明端口未开放。 - SYN 扫描
发送 SYN 包,收到 SYN/ACK 之后发送 RST 包断开连接。不会在目标主机上留下扫描痕迹。 - FIN 扫描
发送 FIN 数据包,响应为 RST 表示关闭。否则开放。 - NULL 扫描
反向扫描,将一个没有设置任何标志位的数据包发送给 TCP 端口,正常情况下,端口关闭会发送一个 RST 的数据包,开放则不会响应客户端。 - ACK 扫描
向目标主机发送 ACK 数据包,若返回的 RST 数据包的 TTL 值小于或等于 64,则端口开放,否则关闭。 - Dump 扫描
利用第三方僵尸计算机扫描。由僵尸主机向目标主机发送 SYN 数据包,返回 RST 或者 SYN/ACK,然后对 SYN/ACK 回复 RST,对 RST 不做回应。
报头格式
TCP 报头格式
源端口 目的端口
序号
确认号
数据偏移 保留 标志位 窗口 最大 65535
校验和 紧急指针UDP 报头格式
源端口 目的端口 长度 校验和IP 报头格式
版本 报头长度 服务 报文长度
标识 标志 偏移
生存时间 用户协议 报头校验和
源地址
目的地址
TCP/IP
TCP/IP 这个词有两层含义,一是指具体的 TCP 协议和 IP 协议,二是指 TCP/IP 协议群,这里面包含了应用层协议(HTTP
, FTP
, TELNET
等),传输层协议(TCP
, UDP
),网际协议(IP
, ICMP
, ARP
),路由控制协议(RIP
, OSPF
, BGP
)等。