1. Начало беседы. Протокол tcp. Флаг syn.

• Флаг SYN - Sequence number. Клиент посылает SYN-сегмент с указанием номера порта сервера, который предлагается использовать для организации канала связи (active open).

Полезная информация, которую можно выделить из этого пакета:

Длина: 66 bytes

Mac адрес и названия устройств источника и назначения: Src: Cisco_b2:6e:db (00:05:dd:b2:6e:db), Dst: HuaweiTe_09:2e:ff (d4:6a:a8:09:2e:ff)(домашний роутер)

IP адрес источника и назначения: Src: 192.168.100.5(адрес моего ПК), Dst: 149.154.167.41(адрес узла telegram)

• Информация TCP:

Порт источника и назначения: Transmission Control Protocol, Src Port: 59012, Dst Port: 443(HTTPS TCP-порт)

Размер окна TCP(Calculated window size) – количество октетов (начиная с номера подтверждения), которое принимающая сторона готова принять в настоящий момент без подтверждения: 8192

Поле Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted

TCP Option - Maximum segment size: 1460 bytes - определяет максимальный размер полезного блока данных в байтах для TCP-пакета (сегмента). Не учитывает длину заголовков TCP и IP.

TCP Option - No-Operation (NOP) - не имеет поля option-length или option-data. Это однобайтовая опция, используемая для внутреннего заполнения заголовка TCP.

TCP Option - Window scale: 2 (multiply by 4) - позволяет увеличить размер окна приема, разрешенный в протоколе управления передачей, выше его прежнего максимального значения 65 535 байт

TCP Option - No-Operation (NOP)

TCP Option - No-Operation (NOP)

TCP Option - SACK permitted- используется только в пакете SYN (во время создания подключения TCP), чтобы указать, что он может делать выборочный ACK

2. Следующая часть беседы:

Состоит из:

• Пакета протокола TCP с флагом [SYN, ACK] Sequence number Acknowledgement - Сервер откликается, посылая свой SYN-сегмент, содержащий идентификатор (ISN - Initial Sequence Number). Начальное значение ISN не равно нулю.

• Пакета протокола TCP с флагом [ACK] – Acknowledgement. Клиент отправляет подтверждение получения SYN-сегмента от сервера с идентификатором равным ISN (сервера)+1.

• Пакета протокола SSL с полем информации “Continuation Data” Кадры помечаются как “Continuation Data”, если их содержимое не полностью понято. Это может происходить, если захват начинается в середине существующего соединения SSL/TLS, не захватывая начало записи. Предполагаю, что это зашифрованная информация, все пакеты SSL, фигурировавшие в исследовании помечены таким же образом.

Также, при раскрытии поля TCP можно увидеть флаг (PSH, ACK) – Push Acknowledgement. Флаг форсированной отправки сегмента (подтверждение PUSH)

3. Завершающая часть беседы

Состоит из:

• Пакета протокола TCP с флагом [FIN, ACK]- сообщение от отвечающего устройства с установленным флагом ACK, говорящем о получении сообщения FIN

• Пакета протокола SSL с полем информации “Continuation Data”

• Пакета протокола TCP с флагом [RST, ACK]- Reset Acknowledgement. Означает подтверждение отмены соединения. В приведенном ниже примере отправителем [RST, ACK]- является адрес клиента

• Пакета протокола TCP с флагом [FIN, ACK]- сообщение от отвечающего устройства с установленным флагом ACK, говорящем о получении сообщения FIN.

На этом беседа завершена.