網路分流器 TCP報文重組和會話規則

2022-09-23 22:09:27 字數 1591 閱讀 6367

戎騰網路網路分流器又名核心網採集器,又分為固網採集器和移動信令採集器兩大類!網路分流器是整個網路安全前端網路監控的重要基礎裝備! 我們在網路安全當中經常聽到旁路,映象,流量採集,dpi深度資料報檢測,五元組過濾等相關詞彙,今天網路分流器為大家講講tcp報文重組和會話規則!

網路分流器高密度兼顧10g和100g

一、基本概念

四元組:源ip位址、目的ip位址、源埠、目的埠。

五元組:源ip位址、目的ip位址、協議號、源埠、目的埠。

六元組:源mac位址、源ip位址、源埠號、目的mac位址、目的ip位址和目的ip位址。

七元組:源mac位址、源ip位址、源埠號、目的mac位址、目的ip位址和目的ip位址和協議號。

二、五元組確定乙個會話還是四元組?

五元組通常是指由源ip位址,源埠,目的ip位址,目的埠和傳輸層協議號這五個量組成的乙個集合。例如:192.168.0.1/10000/tcp/121.14.88.76/80就構成了乙個五元組。其意義是,乙個ip位址為192.168.1.1的終端通過埠10000,利用tcp協議,和ip位址為121.14.88.76,埠為80的終端進行連線通訊。

五元組能夠唯一確定乙個會話。

在tcp會話重組時,使用序列號確定tcp報文順序可以解決資料報文不按順序到達及其重傳問題,並且利用二維鍊錶對tcp會話就行還原。難點在於解決多連線問題、ip包亂序到達和tcp會話重傳的問題。

原因:tcp協議是tcp/ip協議族中乙個重要組成部分,tcp資料流的重組是高層協議分析系統設計和實現的基礎。tcp協議是面向連線的可靠傳輸協議,而tcp下層的ip協議卻是面向報文的不可靠協議,這回帶來問題:ip不能保證tcp報文可靠的、順序的傳輸。為了解決這個問題,tcp採取滑動視窗機制、位元組流編號機制和快速重傳演算法機制等。這可以保證資料的可靠傳輸。

tcp會話(tcp_session_idt)可以通過四元組源ip位址、目的ip位址、唯一標識。

使用hash表快速查詢定位的特徵,解決多個tcp會話同時處理的問題,快速處理多個會話問題。

在tcp頭中sequence number是判斷該資料報是否重傳和包亂序的重要引數。在tcp連線剛建立時,會為後續tcp傳輸設定乙個初始的sequencenumber,每傳送乙個包含有效資料的tcp包,後續傳送的tcp資料報的sequence number會作響應的修改,如果前乙個包長度為n,則這個包的sequence number為前乙個包sequence number加n。它是為保證tcp資料報按序傳輸來設計的,可以有效的實現tcp資料的完整傳輸,特別是當資料傳輸出現錯誤時可以有效進行錯誤糾正。

tcp重組資料檔案寫指標的syn演算法如下:

file_init_write_pointer= init_sequence number + 1;

file_write_pointer= current sequence number – file_init_write_point;

檢查tcp會話中是否存在空洞,可以來確定會話重組成功、失敗和超時。

tcp建立連線需要3次握手,而終止乙個連線需要4次握手。這是因為乙個tcp連線時全雙工的,每個方向必須單獨的進行關閉。

規則2:tcp頭中4元組 < s y n、 f i n、s e q、l e n >,它應該是唯一的,不唯一說明存在重傳情況。

網路分流器詳解

最近在部署入侵檢測裝置時,經常會遇到對方資訊中心交換機上的映象口不夠 比如條件只允許給乙個,而且這個映象口已經占用其他裝置 此時我們在不多新增映象口的情況下,可以採用網路分流複製裝置將等量的映象資料分流乙份給我們裝置。01 什麼是tap 網路分流器 也許你第一次聽說tap交換機這個名字。tap te...

訊息分流器(HANDLE MSG)

windows訊息分流器的實現2007 12 17 23 58很好理解,windows作業系統使用訊息處理機制,那麼,我們所設計的程式如何才能分辨和處理系統中的各種訊息呢?這就是訊息分流器的作用.簡單來說,訊息分流器就是一段 在我的講述中,將分7重來循序漸進的介紹它.從最初的第1重到最成熟的第7重,...

訊息分流器(HANDLE MSG)

windows訊息分流器的實現 很好理解,windows作業系統使用訊息處理機制,那麼,我們所設計的程式如何才能分辨和處理系統中的各種訊息呢?這就是訊息分流器的作用.簡單來說,訊息分流器就是一段 在我的講述中,將分7重來循序漸進的介紹它.從最初的第1重到最成熟的第7重,它的樣子會有很大的變化.但,實...