1 00:00:00,000 --> 00:00:02,000 Schauen wir uns ein vollständigeres Beispiel an. 2 00:00:03,000 --> 00:00:11,000 In diesem Beispiel initiiert Host A eine Sitzung mit dem Quellport von 1024 an einem Zielport 3 00:00:12,000 --> 00:00:14,000 von 23, also Telnet. 4 00:00:15,000 --> 00:00:20,000 Host A sendet 10 Bytes Daten und eine Anfangssequenznummer von 10. 5 00:00:21,000 --> 00:00:26,000 Host B bestätigt den Empfang der 10 Bytes, indem er eine 6 00:00:27,000 --> 00:00:30,000 Bestätigungsnummer an A von 11 zurücksendet. 7 00:00:31,000 --> 00:00:35,000 Host B setzt in diesem Beispiel auch seine anfängliche Sequenznummer auf 5. 8 00:00:40,000 --> 00:00:47,000 Bitte beachten Sie auch, dass die Portnummern vertauscht sind Der Quellport für den Verkehr von B nach A ist 23 und der Zielport 1024. 9 00:00:48,000 --> 00:00:51,000 In diesem Beispiel, weil wir ein Schiebefenster verwenden, 10 00:00:52,000 --> 00:00:55,000 A kann beispielsweise 250 Byte Daten senden. 11 00:00:56,000 --> 00:00:59,000 Beachten Sie, dass die Sequenznummer auf 260 erhöht wird. 12 00:01:00,000 --> 00:01:03,000 In den vorherigen Beispielen haben wir einfache Zahlen mit der Fenstergröße 13 00:01:04,000 --> 00:01:08,000 1 oder der Fenstergröße 3 verwendet. Beachten Sie jedoch, dass sich die Fenstergrößen in der 14 00:01:09,000 --> 00:01:12,000 Realität auf die Datenmenge einstellen, die in Byte übertragen werden kann. 15 00:01:13,000 --> 00:01:18,000 Daher ist dies möglicherweise nicht so einfach zu lesen wie die Folgen 1, 2 und 3. 16 00:01:23,000 --> 00:01:28,000 Empfang der Daten bis zur Sequenz 5 und damit Bestätigung der Sequenznummer 6. 17 00:01:29,000 --> 00:01:31,000 Die Quellports werden erneut ausgetauscht, der 18 00:01:32,000 --> 00:01:35,000 Quellport ist also 1024 und der Zielport ist 23. 19 00:01:36,000 --> 00:01:43,000 Nun bestätigt Host B für die Sequenznummer 261, dass sich A 10 Bytes 20 00:01:44,000 --> 00:01:48,000 und die 250 Bytes erinnern, also 260 Bytes 21 00:01:49,000 --> 00:01:50,000 Daten. 22 00:01:51,000 --> 00:01:57,000 B sendet die Sequenznummer 6 und erneut werden die Portnummern umgekehrt. 23 00:01:58,000 --> 00:02:02,000 Es ist sehr wichtig, dass Sie wissen, wie Quell- und Ziel-Ports 24 00:02:07,000 --> 00:02:14,000 funktionieren. In diesem Sinne gibt es nichts Besseres, als Ihnen anhand von Wireshark ein Beispiel aus der realen Welt zu zeigen. 25 00:02:15,000 --> 00:02:18,000 Ich werde also den Datenverkehr in 26 00:02:19,000 --> 00:02:27,000 meinem Netzwerk erfassen und dann zum Beispiel zu google gehen. com mit meinem Webbrowser. 27 00:02:28,000 --> 00:02:41,000 Ich gehe zurück zu Wireshark und stoppe die Aufnahme. Ein Beispiel ist die DNS-Abfrage. 28 00:02:42,000 --> 00:02:48,000 Wir haben also Host 10. 0 0 1 Dies ist 29 00:02:49,000 --> 00:02:53,000 mein Computer, ein Dell-Laptop, der den DNS-Server abfragt. 30 00:02:54,000 --> 00:03:01,000 Auf Layer 2 können Sie sehen, dass die Quelle mein Dell-Computer zu meinem Cisco-Router ist. 31 00:03:02,000 --> 00:03:07,000 Dies ist ein Ethernet 2-Frame und bitte das Typenfeld beachten. 32 00:03:08,000 --> 00:03:15,000 In der Schicht 2 gibt das Typfeld wie erwähnt das Protokoll in der Schicht 3 an. 33 00:03:16,000 --> 00:03:24,000 In diesem Fall gibt 0x0800 im Hexadezimalwert an, dass das Protokoll der Schicht 3 IPv4 ist. 34 00:03:25,000 --> 00:03:32,000 Auf Schicht 3 können Sie die Quell-IP-Adresse und die Ziel-IP-Adresse sehen. 35 00:03:33,000 --> 00:03:40,000 Mein PC und der DNS-Server können Sie sehen, dass dies IPv4 ist. Sie können sehen, 36 00:03:41,000 --> 00:03:44,000 dass die Headerlänge 20 Byte beträgt. 37 00:03:45,000 --> 00:03:51,000 DSCP oder Differentiated Services Codepunkte werden in dieser Beispielnachricht ECN 38 00:03:52,000 --> 00:03:58,000 nicht verwendet, die sich auf explizite Überlastungsbenachrichtigung bezieht. Ich habe 39 00:04:02,000 --> 00:04:14,000 dies kurz erwähnt, wenn ich über den TCP-Header spreche. 42 Ich möchte, dass Sie hier sehen, dass das Protokoll auf Schicht 40 00:04:15,000 --> 00:04:22,000 4 UDP ist und die Werte im Hexadezimalwert sind. 11 im Hexadezimalwert ist also 17, 41 00:04:23,000 --> 00:04:26,000 die Protokollnummer für UDP wiederum 17. 42 00:04:27,000 --> 00:04:32,000 In Schicht 4 sehen wir also, dass das User Datagram Protocol oder UDP verwendet wird. 43 00:04:33,000 --> 00:04:38,000 Der Quellport ist 62249, mit anderen Worten ein dynamischer oder kurzlebiger Port, 44 00:04:39,000 --> 00:04:43,000 der zu einem Zielport von 53, also DNS, geht. 45 00:04:44,000 --> 00:05:01,000 Wir können die Portnummern noch einmal sehen. Wenn Sie die DNS-Abfrage öffnen, sehen Sie, dass 46 00:05:02,000 --> 00:05:17,000 es sich um eine Abfrage handelt, die nach einer bestimmten Hostadresse sucht. 47 00:05:18,000 --> 00:05:29,000 Hier haben wir eine DNS-Antwort vom DNS-Server an meinen Host. 48 00:05:30,000 --> 00:05:34,000 Also noch einmal, sehr schnell können Sie in Schicht 2 sehen, dass das Typfeld 49 00:05:35,000 --> 00:05:37,000 das Protokoll in Schicht 3 angibt. 50 00:05:38,000 --> 00:05:49,000 Auf Layer 3, dem Protokollfeld, wird angegeben, welches Protokoll auf Layer 4 verwendet wird. 51 00:06:00,000 --> 00:06:09,000 Hier eine weitere DNS-Abfrage von meinem Host an den DNS-Server. 52 00:06:10,000 --> 00:06:14,000 Wenn wir die DNS-Abfrageinformationen öffnen, können Sie feststellen, dass es sich um 53 00:06:15,000 --> 00:06:19,000 eine Abfrage für Google handelt. com und es ist 54 00:06:20,000 --> 00:06:26,000 eine Host-Abfrage, Benachrichtigungstyp A, der DNS-Server antwortet und in der Antwort wird angegeben, es 55 00:06:27,000 --> 00:06:33,000 gibt uns die IP-Adresse von Google. com Nun ist 56 00:06:34,000 --> 00:06:41,000 der Drei-Wege-Handshake zwischen meinem Computer und Google. 57 00:06:42,000 --> 00:06:44,000 Beachten Sie, dass die Quelle 10 ist. 0 0 1 58 00:06:45,000 --> 00:06:48,000 und das Ziel ist diese IP-Adresse, die Google ist. 59 00:06:58,000 --> 00:07:00,000 Beachten Sie, dass der Quellport 58313 ist und 80 Ziele ich öffne also eine Webverbindung zu einem Webserver. 60 00:07:01,000 --> 00:07:06,000 Wenn Sie das öffnen, können Sie erneut die Quell- und Zielportnummern sehen. Beachten Sie 61 00:07:07,000 --> 00:07:10,000 jedoch, dass hier das Flag SYN gesetzt ist. 62 00:07:11,000 --> 00:07:15,000 Wenn Sie also das öffnen, können Sie 63 00:07:16,000 --> 00:07:21,000 sehen, dass alle anderen Flags oder Bits mit Ausnahme des 64 00:07:22,000 --> 00:07:31,000 SYN-Bits auf 0 gesetzt sind. Wenn Sie das öffnen, können Sie sehen, dass wir versuchen, eine Verbindung 65 00:07:32,000 --> 00:07:36,000 zum Server herzustellen Nachricht an den Server. 66 00:07:37,000 --> 00:07:45,000 Es werden keine anderen Flags gesetzt. Beachten Sie, dass die ursprüngliche Fenstergröße 8192 67 00:07:46,000 --> 00:07:56,000 ist. Wenn Sie die Optionen öffnen, sehen Sie, dass die MSS oder Maximum Segment Size auf 1460 Byte eingestellt ist. 68 00:07:57,000 --> 00:08:04,000 Die Antwort von Google an meinen Computer in Schicht 4 zeigt, dass der Quellport 80 und 69 00:08:05,000 --> 00:08:07,000 der Zielport 58313 ist. 70 00:08:08,000 --> 00:08:14,000 Wenn Sie das öffnen, beachten Sie, dass die gesetzten Flags SYN ACK sind, so dass es 71 00:08:15,000 --> 00:08:18,000 sich um einen zweiten Teil des Dreiwege-Handshakes handelt. 72 00:08:19,000 --> 00:08:24,000 Beachten Sie, dass das Bestätigungsbit gesetzt ist und das Synchronisationsbit gesetzt 73 00:08:25,000 --> 00:08:32,000 ist, um dieses zu öffnen. Sie können sehen, dass es sich um eine Verbindungsbestätigung von Google handelt. 74 00:08:33,000 --> 00:08:43,000 Beachten Sie, dass die Anforderung für die Fenstergröße 5720 lautet. Wenn Sie hier die Option "Optionen" öffnen, 75 00:08:44,000 --> 00:08:47,000 beträgt die maximale Segmentgröße 1430. 76 00:08:48,000 --> 00:08:52,000 Wenn Sie den letzten Teil des Drei-Wege-Handshakes betrachten, wenn 77 00:08:53,000 --> 00:08:56,000 mein Computer mit Google beim Öffnen 78 00:08:57,000 --> 00:09:08,000 von TCP spricht, können Sie sehen, dass die gesetzten Flags nur das Bestätigungsbit und die angeforderte Fenstergröße 64350 sind 85 und betrachten Sie die Sequenzbestätigungsanalyse 79 00:09:14,000 --> 00:09:18,000 und stellen Sie fest, dass es sich um eine 80 00:09:19,000 --> 00:09:20,000 Bestätigung handelt. 81 00:09:21,000 --> 00:09:24,000 Wenn Sie zum ersten Schritt der Dreiwege-Handshake zurückkehren, stellen 82 00:09:25,000 --> 00:09:30,000 Sie fest, dass die ursprüngliche Sequenznummer von meinem Computer zu Google auf 0 gesetzt ist. 83 00:09:31,000 --> 00:09:35,000 Beachten Sie die laufende Nummer 0, um zum eigentlichen TCP-Header zu gelangen. 84 00:09:36,000 --> 00:09:42,000 Googles antworten als Sequenznummer 0 und die Bestätigung von 1. 85 00:09:43,000 --> 00:09:45,000 Wie Sie auch hier sehen können. 86 00:09:46,000 --> 00:09:52,000 Sie lassen uns also wissen, dass das nächste Segment, das sie erwarten werden, Segment 1 ist. 87 00:09:53,000 --> 00:10:00,000 Wir bestätigen ihnen, dass wir die Folgenummer 1 senden und 88 00:10:01,000 --> 00:10:04,000 die Folgenummer 1 bestätigen. 89 00:10:05,000 --> 00:10:08,000 Dies ist das, was wir besprochen haben. 90 00:10:09,000 --> 00:10:15,000 Später, wenn HTTP empfangen wird, erhalten wir Informationen von Google 91 00:10:16,000 --> 00:10:21,000 an seinen Rechner, TCP, und hier ist 92 00:10:22,000 --> 00:10:28,000 dies ein TCP-Segment der wieder zusammengesetzten Protocol Data Unit. 93 00:10:29,000 --> 00:10:31,000 Mit anderen Worten ist dies ein Fragment. 94 00:10:32,000 --> 00:10:41,000 Beim TCP sehen wir die Quellen HTTP und das Ziel ist unsere Portnummer. 95 00:10:42,000 --> 00:10:45,000 Mit anderen Worten: Google sendet 96 00:10:46,000 --> 00:10:49,000 an uns Verkehr. Beachten Sie, 97 00:10:50,000 --> 00:10:54,000 dass die Folgenummer 2861 ist, die nächste Folgenummer 98 00:10:55,000 --> 00:10:58,000 3798 und die Bestätigungsnummer 944. 99 00:10:59,000 --> 00:11:04,000 Die nächste Sequenznummer ist also 3798 und der 100 00:11:05,000 --> 00:11:07,000 nächste Teil der 101 00:11:08,000 --> 00:11:15,000 Erfassungsbenachrichtigung. Die Sequenznummer ist hier 3798 und die nächste Sequenznummer ist 5228. 102 00:11:16,000 --> 00:11:19,000 Und es gibt eine Bestätigung von Google, 103 00:11:20,000 --> 00:11:23,000 dass wir erwarten, 5228 zu erhalten. 104 00:11:24,000 --> 00:11:28,000 Und schon beim nächsten Capture kann die Sequenznummer 5228 105 00:11:29,000 --> 00:11:32,000 von Google an uns gesendet werden. 106 00:11:33,000 --> 00:11:39,000 Die nächste Folgenummer ist 6658, was das nächste erhaltene Stück ist. 107 00:11:43,000 --> 00:11:48,000 Hinweis 6658 ist die Sequenznummer, die empfangen wurde. 114 Unser Host bestätigt, dass dies der 108 00:11:49,000 --> 00:11:53,000 Fall ist, und sagt, dass das nächste zu empfangende Datenelement 7894 ist, das 109 00:11:54,000 --> 00:11:59,000 zum nächsten Capture geht. Sie können sehen, dass die Sequenznummer die von Google an uns gesendete ist. 110 00:12:00,000 --> 00:12:02,000 Nun, ohne Sie langweilig zu machen, hoffe 111 00:12:03,000 --> 00:12:06,000 ich, dass Ihnen dieses Capture einen kleinen Einblick in die 112 00:12:07,000 --> 00:12:09,000 tatsächlichen Abläufe auf dem Draht gibt. 113 00:12:10,000 --> 00:12:14,000 Wirehark erinnert sich an eine kostenlose Anwendung, die Sie herunterladen können. Suchen Sie einfach danach 114 00:12:15,000 --> 00:12:16,000 im Internet. Ich 115 00:12:17,000 --> 00:12:19,000 schlage vor, dass Sie etwas Verkehr auf Ihrem 116 00:12:20,000 --> 00:12:23,000 Computer erfassen, sodass Sie tatsächlich sehen können, was im Hintergrund passiert. 117 00:12:24,000 --> 00:12:25,000 Also, was haben wir behandelt? 118 00:12:26,000 --> 00:12:30,000 In diesem Abschnitt betrachten wir die 2 Hauptprotokolle auf Schicht 4. 119 00:12:31,000 --> 00:12:39,000 UDP oder User Datagram Protocol und TCP oder Transmission Control Protocol. 120 00:12:40,000 --> 00:12:45,000 Ich habe Portnummern erklärt und welche Portnummern in welchen Szenarien verwendet werden. 121 00:12:46,000 --> 00:12:48,000 Ich erklärte den TCP-Dreiwege-Handshake, 122 00:12:49,000 --> 00:12:52,000 ich erläuterte das Fenster und die Folgenummern. 123 00:12:53,000 --> 00:12:55,000 Danke fürs Zuschauen!