Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Pochopenie `tcp.flags`
Pole `TCP.Flags 'v Wireshark vám umožňuje filtrovať pakety na základe bitov vlajky TCP, ktoré sú nastavené v hlavičke TCP. Tieto vlajky sú jednotlivé kúsky, ale ich kombinácie sú neuveriteľne užitočné na pochopenie stavu pripojenia TCP. Tu je zrútenie najdôležitejších vlajok:
* syn (synchronizácia): Používa sa na iniciovanie pripojenia TCP (prvý paket v trojcestnom podaní ruky).
* ack (potvrdenie): Používa sa na potvrdenie prijatých údajov alebo predchádzajúceho paketu SYN. Takmer každý paket po výmene syn/ack má sadu príznakov ACK.
* fin (dokončenie): Používa sa na elegantné zatvorenie pripojenia TCP.
* rst (reset): Používa sa na náhle ukončenie pripojenia TCP. Často označuje chybu alebo problém.
* psh (push): Označuje, že odosielateľ okamžite tlačí údaje do prijímača. Často sa používajú na interaktívne aplikácie.
* urg (urgentné): Označuje, že naliehavé pole ukazovateľa v hlavičke TCP je platné a ukazuje na naliehavé údaje. Menej bežne používané v moderných aplikáciách.
* eCe (ECN-ECHO): Používa sa na výslovné oznámenie o preťažení (ECN) na signalizáciu preťaženia v sieti.
* CWR (okno preťaženia): Používa sa na výslovné oznámenie o preťažení (ECN) na označenie, že odosielateľ znížil svoje okno preťaženia.
Prečo je `tcp.flags 'dôležitý?
Filtrovaním týchto príznakov môžete rýchlo identifikovať:
* Problémy s vytvorením pripojenia: Úspešne úspešne dokončil trojstranný handshake (Syn, Syn/ACK, ACK)?
* Problémy s ukončením pripojenia: Bolo spojenie elegantne zatvorené (výmena plutiev) alebo náhle (RST)?
* Retransmissions: Existuje veľa duplicitných paketov ACK?
* Možné útoky: Nezvyčajné kombinácie príznakov by mohli naznačovať pokusy manipulovať s pripojeniami TCP.
* Problémy s preťažením: Používajú sa vlajky ECE alebo CWR?
Riešenie problémov s krokmi s `TCP.Flags a Wireshark
Tu je štruktúrovaný prístup k riešeniu problémov s `tcp.flags`:
1. zachytiť prenos:
* Štart wireshark: Spustite Wireshark na stroji, ktorý zažíva problém siete alebo v sieti, klepnite, ak monitorujete prenos medzi dvoma zariadeniami.
* Vyberte správne rozhranie: Vyberte sieťové rozhranie, ktoré prepravuje prenos, ktorý chcete analyzovať (napr. Ethernet, Wi-Fi).
* Štart Capture: Kliknutím na tlačidlo „Štart“ (ikona Shark Fin) začnite zachytávať pakety.
* reprodukujte problém: Zatiaľ čo Wireshark zachytáva, reprodukuje problém siete, ktorú sa snažíte diagnostikovať (napr. Pokúste sa pripojiť na webovú stránku, preniesť súbor atď.).
* zastávka: Kliknutím na tlačidlo „Stop“ (ikona Red Square) prestaňte zachytávať pakety.
2. Použite počiatočné filtre (voliteľné, ale odporúčané):
* `Host
* `ip.addr ==
* `tcp.port ==
* `tcp.stream eq <číslo stream>`: Filtrujte pomocou konkrétneho čísla toku TCP. Číslo toku nájdete v detailoch paketu. Toto je užitočné na izoláciu jedného pripojenia TCP.
Tieto počiatočné filtre pomáhajú zúžiť zachytený prenos na príslušné pakety, čo uľahčuje analýzu.
3. Analyzujte problémy s vytvorením pripojenia (trojcestné podanie ruky):
* filter pre pakety syn: `tcp.flags.syn ==1 a tcp.flags.ack ==0` (to zobrazuje pakety SYN bez príznaku ACK.)
* Vyhľadajte pakety syn/ack: `tcp.flags.syn ==1 a tcp.flags.ack ==1` (to zobrazuje pakety SYN, ktoré majú tiež sadu príznakov ACK.)
* Vyhľadajte pakety ACK (posledná časť podania ruky): `tcp.flags.ack ==1 a tcp.flags.syn ==0` (to zobrazuje pakety ACK bez sady príznakov Syn.)
Riešenie problémov na základe toho:
* chýbajúce syn: Ak nevidíte paket SYN od klienta, klient nemusí byť schopný dosiahnuť server (problém s smerovaním, blokovanie firewall).
* chýbajúca syn/ack: Ak klient odošle syn, ale nedostane syn/ack, server môže byť dole, nedosiahnuteľný alebo odmietnuť pripojenie (firewall).
* chýba ack: Ak klient dostane syn/ACK, ale neodosiela konečný ACK, môže sa vyskytnúť problém s konfiguráciou, smerovaním klienta alebo bránou firewall.
* Retransmitted Syn Pakety: Klient odosiela pakety SYN viackrát, čo môže naznačovať problém na ceste k serveru, ktorý bráni prvému SYN v oslovení servera.
4. Analyzujte problémy s ukončením pripojenia:
* Filter pre pakety: `tcp.flags.fin ==1`
* filter pre pakety RST: `tcp.flags.Reset ==1`
Riešenie problémov na základe toho:
* výmena: Elegantné zatvorenie zahŕňa plutkový paket z jednej strany, ACK pre túto plutvu, plutvu z druhej strany a ACK pre túto plutvu. Ak je táto sekvencia neúplná, niečo prerušilo proces uzatvárania.
* RST pakety: RST paket označuje náhle ukončenie. Vyhľadajte príčinu prvého. Možné príčiny:
* Port zatvorený: Klient alebo server odoslali údaje do portu, ktorý už nepočúval.
* pripojenie odmietnuté: Server odmietol pripojenie.
* Neočakávané údaje: Jedna strana prijala údaje, ktoré neočakávalo.
* firewall: Firewall môže byť násilne uzavretý spojenie.
5. Analýza problémov s prenosom údajov (po podaní ruky):
* `tcp.analysis.retransmission`: Tento filter je rýchly spôsob, ako identifikovať opakovania TCP. Vysoký počet opakovaní označuje stratu paketov, preťaženie siete alebo iné problémy siete.
* `tcp.anAlysis.duplicate_ack`: Tento filter identifikuje duplicitné pakety ACK, ktoré sa môžu vyskytnúť v dôsledku straty paketov. Odosielateľ retransmituje paket a prijímač akceptuje originál a opakovaný paket, čím vytvára duplikát ACK.
* `tcp.flags.push ==1`: Filter pre pakety so sadou príznakov PSH. To naznačuje, že odosielateľ naliehavo tlačí údaje. Aj keď to nie je zvyčajne * problém * sám o sebe, môže byť užitočné na pochopenie toku údajov.
6.
* Kombinácia príznakov: Príznaky môžete kombinovať pomocou `&&` (a) a `||` (alebo). Napríklad:`tcp.flags.syn ==1 &&tcp.flags.Reset ==1` (pakety so setom syn a rst príznakov - veľmi nezvyčajné, môžu naznačovať útok).
* Kontrola * ľubovoľnej * sady príznakov: `tcp.flags> 0` - Zobraziť všetky pakety s * ľubovoľnou sadou príznakov * TCP. To môže byť užitočné na získanie všeobecného prehľadu.
Príklad scenárov
* Webová stránka sa nedarí načítanie:
1. Filter podľa IP adresy webovej stránky (`hostiteľ
2. Skontrolujte trojcestné podanie ruky. Ak chýba syn alebo Syn/ACK, preskúmajte sieťové pripojenie alebo stav servera.
3. Ak sa handshake dokončí, vyhľadajte http get požiadavky a odpovede servera. Existujú opakovania? Posiela server chyby späť (napr. Chyby HTTP 500)?
4. Vyhľadajte pakety RST, ktoré by mohli predčasne uzavrieť pripojenie.
* ssh pripojenie zlyhanie:
1. Filter podľa portu 22 (`TCP.port ==22`).
2. Skontrolujte trojcestné podanie ruky.
3. Vyhľadajte správy protokolu SSH. Ak sa handshake dokončí, ale klient a server SSH si nevymieňajú údaje, môže sa vyskytnúť problém s autentifikáciou SSH alebo konfiguráciou.
4. Vyhľadajte pakety RST. Resetový paket je často znakom neúspešného overovania alebo problému so serverom SSH.
* pomalý prenos súborov
1. Filter pre IP klienta a serveru, ktorý prenos prenos.
2. Vyhľadajte `tcp.analýzy.Reransmission`. Vysoký počet opakovaní označuje stratu paketov, preťaženie siete alebo iné problémy siete.
3. Vyhľadajte `tcp.window_size ==0`. Veľkosť nulového okna označuje, že prijímač je ohromený a nemôže akceptovať žiadne ďalšie údaje. Odosielateľ bude musieť prenos pozastaviť.
Tipy na kľúč
* Graf sekvencie času: Na vizualizáciu toku pripojenia TCP a rýchle identifikáciu opakovaných prenosov, medzier a iných anomálií použite graf „Statistics -> TCP Stream -> Graf časovej sekvencie (stevens)“.
* Expertné informácie: Venujte pozornosť tablu „odborných informácií“ v dolnej časti Wireshark. Často zdôrazňuje potenciálne problémy.
* kliknite pravým tlačidlom myši a sledujte tcp tok: Kliknutím pravým tlačidlom myši na paket TCP a výberom „Sledovať -> TCP Stream“ je skvelý spôsob, ako izolovať jedno pripojenie TCP a vidieť všetky pakety v tomto pripojení postupne.
* Naučte sa protokol TCP: Pre efektívne riešenie problémov je nevyhnutné solídne porozumenie protokolu TCP (najmä trojsmerného potrasenia a ukončenia spojenia).
Zvládnutím používania techník „TCP.Flags“ a týchto riešení problémov môžete výrazne zlepšiť svoju schopnosť diagnostikovať a riešiť problémy siete pomocou Wireshark. Nezabudnite kombinovať tieto informácie s inými nástrojmi monitorovania siete a protokolmi servera, aby ste komplexný pohľad na problém.