"Человек - самое уязвимое место в системе безопасности.."

Трехэтапное Квитирование TCP — Флаги SYN и ACK

С помощью программы анализатора трафика Wireshark, можно проанализировать работу трехэтапного квитирования ТСР. На рис.1 видно, что:

  • SYN флаг в положении утверждения начального номера последовательности
  • Случайный номер последовательности валидный (относительный 0)
  • Случайный номер порта источника 1069
  • Порт назначения 80 определенный веб-сервером httpd

Трехэтапное Квитирование TCP - SYNРисунок — 1

Этап 1

Клиент отправления пакета ТСР реализует трехэтапное квитирование с помощью отправки пакета с установленным контрольным флагом SYN, указывая начальное значения в поле номера последовательности. Это значение будет известно, как начальный номер последовательности ISN, определяется случайным образом и реализуется, чтобы начать отслеживать поток информации от клиента на сервер для определенной сессии. ISN в заголовке каждого пакета увеличивается на 1 для каждого байта данных, отправленных от клиента серверу.

Контрольный флаг SYN установлен, и относительный номер последовательности равен 9. На рис.2 видно, что:

  • АСК флаг установлен
  • SYN флаг установлен, что бы указать на начальный номер последовательности для сеанса
  • Номер подтверждения ответа к начальному номеру последовательности — 1

Трехэтапное Квитирование TCP - SYN ACKРисунок — 2

Этап 2

ТСР сервер должен подтвердить полученный пакет SYN от клиента. Чтобы реализовать сеанс, сервер должен отправить пакет с уставленным флагом АСК клиенту.

Значение поля номера подтверждения равное начальному номеру последовательности клиента, увеличенному на 1. Это есть установка сессии от клиента к серверу. Флаг АСК установленный для балансировки сессии. Затем сервер должен реализовать ответ клиенту, он устанавливает флаг SYN в заголовке. Флаг SYN показывает, что первоначальное значение поля номера последовательности есть в заголовке. На рис.3 видно, что:

  • Флаг АСК включен, показывая, что поле номера подтверждения работает
  • Номер подтверждения ответа относительно начального номера последовательности — 1

Трехэтапное Квитирование TCP - ACKРисунок — 3

Этап 3

Клиент отвечает пакетом имеющий АСК. В этом пакете нету пользовательских данных. Значение в поле номера подтверждения имеет значение на 1 больше, чем начальный номер последовательности получены с сервера. Все последующие передающие пакеты в этой сессии будут иметь установленный флаг АСК. Для повышения безопасности сети, нужно:

  • Запретить реализацию сеансов ТСР
  • Разрешить создания сессий только для конкретных служб
  • Разрешить только трафик уже установленных сессий