Начало беседы. Протокол tcp. Флаг syn.
Флаг SYN - Sequence number. Клиент посылает SYN-сегмент с указанием номера порта сервера, который предлагается использовать для организации канала связи (active open).
Полезная информация, которую можно выделить из этого пакета:
Длина: 66 bytes
Mac адрес и названия устройств источника и назначения: Src: Cisco_b2:6e:db (00:05:dd:b2:6e:db), Dst: HuaweiTe_09:2e:ff (d4:6a:a8:09:2e:ff)(домашний роутер)
IP адрес источника и назначения: Src: 192.168.100.5(адрес моего ПК), Dst: 149.154.167.41(адрес узла telegram)
Информация TCP:
Порт источника и назначения: Transmission Control Protocol, Src Port: 59012, Dst Port: 443(HTTPS TCP-порт)
Размер окна TCP(Calculated window size) – количество октетов (начиная с номера подтверждения), которое принимающая сторона готова принять в настоящий момент без подтверждения: 8192
Поле Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted
TCP Option - Maximum segment size: 1460 bytes - определяет максимальный размер полезного блока данных в байтах для TCP-пакета (сегмента). Не учитывает длину заголовков TCP и IP.
TCP Option - No-Operation (NOP) - не имеет поля option-length или option-data. Это однобайтовая опция, используемая для внутреннего заполнения заголовка TCP.
TCP Option - Window scale: 2 (multiply by 4) - позволяет увеличить размер окна приема, разрешенный в протоколе управления передачей, выше его прежнего максимального значения 65 535 байт
TCP Option - No-Operation (NOP)
TCP Option - No-Operation (NOP)
TCP Option - SACK permitted- используется только в пакете SYN (во время создания подключения TCP), чтобы указать, что он может делать выборочный ACK
Следующая часть беседы:
Состоит из:
Пакета протокола TCP с флагом [SYN, ACK] Sequence number Acknowledgement - Сервер откликается, посылая свой SYN-сегмент, содержащий идентификатор (ISN - Initial Sequence Number). Начальное значение ISN не равно нулю.
Пакета протокола TCP с флагом [ACK] – Acknowledgement. Клиент отправляет подтверждение получения SYN-сегмента от сервера с идентификатором равным ISN (сервера)+1.
Пакета протокола SSL с полем информации “Continuation Data” Кадры помечаются как “Continuation Data”, если их содержимое не полностью понято. Это может происходить, если захват начинается в середине существующего соединения SSL/TLS, не захватывая начало записи. Предполагаю, что это зашифрованная информация, все пакеты SSL, фигурировавшие в исследовании помечены таким же образом.
Также, при раскрытии поля TCP можно увидеть флаг (PSH, ACK) – Push Acknowledgement. Флаг форсированной отправки сегмента (подтверждение PUSH)
Завершающая часть беседы
Состоит из:
Пакета протокола TCP с флагом [FIN, ACK]- сообщение от отвечающего устройства с установленным флагом ACK, говорящем о получении сообщения FIN
Пакета протокола SSL с полем информации “Continuation Data”
Пакета протокола TCP с флагом [RST, ACK]- Reset Acknowledgement. Означает подтверждение отмены соединения. В приведенном ниже примере отправителем [RST, ACK]- является адрес клиента
Пакета протокола TCP с флагом [FIN, ACK]- сообщение от отвечающего устройства с установленным флагом ACK, говорящем о получении сообщения FIN.
На этом беседа завершена.