1 00:00:00,000 --> 00:00:02,000 Então, vamos ver um exemplo mais completo. 2 00:00:03,000 --> 00:00:11,000 Neste exemplo, o host A inicia uma sessão com a porta de origem de 1024 em uma porta de destino de 3 00:00:12,000 --> 00:00:14,000 23, em outras palavras, telnet. 4 00:00:15,000 --> 00:00:20,000 O host A envia 10 bytes de dados e um número de sequência inicial de 10. 5 00:00:21,000 --> 00:00:26,000 O host B confirma o recebimento dos 10 bytes enviando um número 6 00:00:27,000 --> 00:00:30,000 de confirmação de volta para A de 11. 7 00:00:31,000 --> 00:00:35,000 O host B neste exemplo também define seu número de seqüência inicial como 5. 8 00:00:40,000 --> 00:00:47,000 por favor, note também que os números das portas estão invertidos a porta de origem para o tráfego que vai de B para A é 23 e a porta de destino é 1024. 9 00:00:48,000 --> 00:00:51,000 Neste exemplo, porque estamos usando uma janela deslizante, 10 00:00:52,000 --> 00:00:55,000 A pode enviar 250 bytes de dados, por exemplo. 11 00:00:56,000 --> 00:00:59,000 Portanto, observe que o número de sequência é incrementado para 260. 12 00:01:00,000 --> 00:01:03,000 Nos exemplos anteriores, usamos números fáceis no tamanho da janela de 1 13 00:01:04,000 --> 00:01:08,000 ou tamanho da janela de 3, mas observe que, na realidade, os tamanhos das janelas são 14 00:01:09,000 --> 00:01:12,000 definidos com a quantidade de dados que podem ser transmitidos em bytes. 15 00:01:13,000 --> 00:01:18,000 Portanto, isso pode não ser tão fácil de ler quanto as sequências de 1, 2 e 3. 16 00:01:23,000 --> 00:01:28,000 recebimento de dados até a seqüência 5 e, assim, reconhecer o número de seqüência 6. 17 00:01:29,000 --> 00:01:31,000 As portas de origem são trocadas novamente, então 18 00:01:32,000 --> 00:01:35,000 a porta de origem é 1024 e a porta de destino é 23. 19 00:01:36,000 --> 00:01:43,000 Agora, o host B está reconhecendo o número de sequência 261, lembre-se de A enviar 10 20 00:01:44,000 --> 00:01:48,000 bytes e os 250 bytes, ou seja, 260 bytes 21 00:01:49,000 --> 00:01:50,000 de dados. 22 00:01:51,000 --> 00:01:57,000 B está enviando o número de seqüência 6 e mais uma vez os números de porta são invertidos. 23 00:01:58,000 --> 00:02:02,000 É muito importante que você entenda como as portas de origem 24 00:02:07,000 --> 00:02:14,000 e destino funcionam. Então, nessa nota, nada melhor do que mostrar um exemplo do mundo real usando o Wireshark. 25 00:02:15,000 --> 00:02:18,000 Então, vou capturar o tráfego na minha 26 00:02:19,000 --> 00:02:27,000 rede e, em seguida, vou para, por exemplo, o google. com o meu navegador. 27 00:02:28,000 --> 00:02:41,000 Voltarei ao Wireshark e pararei a captura, aqui está um exemplo é a consulta DNS. 28 00:02:42,000 --> 00:02:48,000 Então nós temos o host 10. 0 0 1 que é a 29 00:02:49,000 --> 00:02:53,000 minha máquina de um laptop Dell, consultando o servidor DNS. 30 00:02:54,000 --> 00:03:01,000 Na camada 2, você pode ver que a fonte é minha máquina Dell indo para o roteador Cisco. 31 00:03:02,000 --> 00:03:07,000 Este é um quadro Ethernet 2 e observe o campo type. 32 00:03:08,000 --> 00:03:15,000 Na camada 2, como mencionado, o campo type especifica o protocolo na camada 3. 33 00:03:16,000 --> 00:03:24,000 Neste caso, 0x0800 em hexadecimal especifica que o protocolo da camada 3 é IPv4. 34 00:03:25,000 --> 00:03:32,000 Na camada 3 você pode ver o endereço IP de origem e o endereço IP de destino. 35 00:03:33,000 --> 00:03:40,000 Meu PC eo servidor DNS, você pode ver que isso é IPv4, você pode ver o 36 00:03:41,000 --> 00:03:44,000 comprimento do cabeçalho é de 20 bytes. 37 00:03:45,000 --> 00:03:51,000 DSCP ou Pontos de Código de Serviços Diferenciados não são usados 38 00:03:52,000 --> 00:03:58,000 ​​neste exemplo de aviso ECN que tem a ver com notificação 39 00:04:02,000 --> 00:04:14,000 de congestionamento explícita Mencionei isso brevemente quando falamos sobre o cabeçalho TCP. 42 O que eu gostaria que você visse aqui é observar que o protocolo na camada 40 00:04:15,000 --> 00:04:22,000 4 é o UDP que valores em hexadecimal, então 11 em hexadecimal é igual a 17 o número do 41 00:04:23,000 --> 00:04:26,000 protocolo mais uma vez para UDP é 17. 42 00:04:27,000 --> 00:04:32,000 Então, na camada 4, podemos ver que User Datagram Protocol ou UDP está sendo usado. 43 00:04:33,000 --> 00:04:38,000 A porta de origem é 62249, em outras palavras, uma porta dinâmica ou efêmera 44 00:04:39,000 --> 00:04:43,000 que vai para uma porta de destino de 53, ou seja, DNS. 45 00:04:44,000 --> 00:05:01,000 Podemos ver os números das portas mais uma vez e, ao abrir a consulta de 46 00:05:02,000 --> 00:05:17,000 DNS, podemos ver que era uma consulta, procurando por um endereço de host específico. 47 00:05:18,000 --> 00:05:29,000 Aqui temos uma resposta do DNS do servidor DNS para meu host. 48 00:05:30,000 --> 00:05:34,000 Então, mais uma vez, muito rapidamente na camada 2, você pode ver que o campo 49 00:05:35,000 --> 00:05:37,000 type indica o protocolo na camada 3. 50 00:05:38,000 --> 00:05:49,000 Na camada 3, o campo de protocolo nos informa qual protocolo é usado na camada 51 00:06:00,000 --> 00:06:09,000 4 Aqui está outra consulta DNS do meu host para o servidor DNS. 52 00:06:10,000 --> 00:06:14,000 E se abrirmos as informações de consulta do DNS, você verá 53 00:06:15,000 --> 00:06:19,000 que é uma consulta do google. com e é uma consulta 54 00:06:20,000 --> 00:06:26,000 de host, tipo de aviso A, o servidor DNS responde e aviso na resposta, ele 55 00:06:27,000 --> 00:06:33,000 nos dá o endereço IP do google. com Agora aqui está o 56 00:06:34,000 --> 00:06:41,000 aperto de mão de três vias entre minha máquina e o Google. 57 00:06:42,000 --> 00:06:44,000 Observe que a fonte é 10. 0 0 1 e 58 00:06:45,000 --> 00:06:48,000 o destino é esse endereço IP que é o Google. 59 00:06:58,000 --> 00:07:00,000 Observe que a porta de origem é 58313 destinos é 80 em outras palavras, estou abrindo uma conexão da web com um servidor da web. 60 00:07:01,000 --> 00:07:06,000 Abrindo isso, você pode ver mais uma vez os números de porta de origem e destino, mas 61 00:07:07,000 --> 00:07:10,000 observe aqui que o sinalizador que está configurado é SYN. 62 00:07:11,000 --> 00:07:15,000 Então, abrindo isso, você pode ver que todos 63 00:07:16,000 --> 00:07:21,000 os outros sinalizadores ou bit definido como 0, exceto pelo 64 00:07:22,000 --> 00:07:31,000 bit SYN e abrindo isso, você pode ver, estamos tentando configurar uma conexão com o servidor, então temos um 65 00:07:32,000 --> 00:07:36,000 pedido de estabelecimento de conexão mensagem para o servidor. 66 00:07:37,000 --> 00:07:45,000 Nenhum outro sinalizador está definido. Observe que o tamanho inicial da janela é 8192 67 00:07:46,000 --> 00:07:56,000 e a abertura das opções, você pode ver que o MSS ou o Tamanho Máximo do Segmento está configurado para 1460 bytes. 68 00:07:57,000 --> 00:08:04,000 A resposta do Google ao meu computador na camada 4 mostra que a porta de origem é 80 e 69 00:08:05,000 --> 00:08:07,000 a porta de destino é 58313. 70 00:08:08,000 --> 00:08:14,000 Abrindo isso, observe que os sinalizadores definidos são SYN ACK, por isso é uma 71 00:08:15,000 --> 00:08:18,000 segunda parte do handshake de três vias. 72 00:08:19,000 --> 00:08:24,000 Observe que o bit de confirmação está definido e o bit de 73 00:08:25,000 --> 00:08:32,000 sincronização está configurado para abrir, você pode ver que é uma conexão que estabelece reconhecimento do Google. 74 00:08:33,000 --> 00:08:43,000 Observe que a solicitação de tamanho da janela é 5720 e, se abrirmos as opções, observe que o 75 00:08:44,000 --> 00:08:47,000 tamanho máximo do segmento é 1430. 76 00:08:48,000 --> 00:08:52,000 Olhando para a última parte do handshake de três vias, 77 00:08:53,000 --> 00:08:56,000 note que minha máquina conversando com o 78 00:08:57,000 --> 00:09:08,000 Google abrindo o TCP, você pode ver que os sinalizadores definidos são apenas o bit de reconhecimento e o tamanho da janela solicitada. 64350 85 e olhando 79 00:09:14,000 --> 00:09:18,000 para a análise de reconhecimento de sequência, observe que isso 80 00:09:19,000 --> 00:09:20,000 é um reconhecimento. 81 00:09:21,000 --> 00:09:24,000 Voltando ao primeiro passo da trepidação manual de três mãos, 82 00:09:25,000 --> 00:09:30,000 observe que o número de sequência inicial da minha máquina para o Google está definido como 0. 83 00:09:31,000 --> 00:09:35,000 Indo para o cabeçalho TCP real, observe o número de sequência 0. 84 00:09:36,000 --> 00:09:42,000 Os Googles respondem como um número de sequência 0 e o reconhecimento de 1. 85 00:09:43,000 --> 00:09:45,000 Como você pode ver aqui também. 86 00:09:46,000 --> 00:09:52,000 Então eles estão nos informando, o próximo segmento que eles esperam receber é o segmento 1. 87 00:09:53,000 --> 00:10:00,000 Nosso reconhecimento para eles é que estamos enviando o número de sequência 1 e estamos 88 00:10:01,000 --> 00:10:04,000 reconhecendo o número de sequência 1. 89 00:10:05,000 --> 00:10:08,000 Isto é conforme o que discutimos. 90 00:10:09,000 --> 00:10:15,000 Mais tarde, quando o aviso HTTP está sendo recebido, estamos recebendo informações 91 00:10:16,000 --> 00:10:21,000 do Google para o nosso computador TCP e observe aqui, 92 00:10:22,000 --> 00:10:28,000 este é um segmento TCP da Unidade de Dados de Protocolo remontada. 93 00:10:29,000 --> 00:10:31,000 Em outras palavras, isso é um fragmento. 94 00:10:32,000 --> 00:10:41,000 Olhando para o TCP, podemos ver as fontes HTTP e o destino é o nosso número de porta. 95 00:10:42,000 --> 00:10:45,000 Em outras palavras, o Google está enviando tráfego 96 00:10:46,000 --> 00:10:49,000 para nós, observe aqui que o número de 97 00:10:50,000 --> 00:10:54,000 sequência é 2861, o próximo número de sequência é 3798 98 00:10:55,000 --> 00:10:58,000 e o número de confirmação é 944. 99 00:10:59,000 --> 00:11:04,000 então o próximo número de sequência é 3798 indo para a 100 00:11:05,000 --> 00:11:07,000 próxima parte do aviso de 101 00:11:08,000 --> 00:11:15,000 captura, o número de sequência aqui é 3798 e o próximo número de sequência é 5228. 102 00:11:16,000 --> 00:11:19,000 E observe que há um reconhecimento de nossa 103 00:11:20,000 --> 00:11:23,000 máquina para o Google dizendo que esperamos receber 5228. 104 00:11:24,000 --> 00:11:28,000 E então, na próxima captura, você pode ver que o número 105 00:11:29,000 --> 00:11:32,000 de sequência 5228 foi enviado do Google para nós. 106 00:11:33,000 --> 00:11:39,000 O próximo número de sequência é 6658, que é a próxima peça recebida. 107 00:11:43,000 --> 00:11:48,000 O aviso 6658 é o número de sequência recebido. 114 Nosso host está reconhecendo o recebimento disso e 108 00:11:49,000 --> 00:11:53,000 dizendo que o próximo bit de dados a receber é 7894 indo para a 109 00:11:54,000 --> 00:11:59,000 próxima captura, você pode ver que o número de sequência é o que o Google enviou para nós. 110 00:12:00,000 --> 00:12:02,000 Agora, sem aborrecê-lo por mais tempo, 111 00:12:03,000 --> 00:12:06,000 espero que essa captura ofereça um pouco do insight 112 00:12:07,000 --> 00:12:09,000 sobre o que realmente está acontecendo. 113 00:12:10,000 --> 00:12:14,000 A Wirehark se lembra de um aplicativo gratuito que você pode baixar apenas para procurar na 114 00:12:15,000 --> 00:12:16,000 internet, agora eu sugiro 115 00:12:17,000 --> 00:12:19,000 que você capture algum tráfego em sua máquina 116 00:12:20,000 --> 00:12:23,000 para que você possa realmente ver o que está acontecendo no back ground. 117 00:12:24,000 --> 00:12:25,000 Então, o que nós cobrimos? 118 00:12:26,000 --> 00:12:30,000 Nesta seção, examinamos os dois principais protocolos que residem na camada 4. 119 00:12:31,000 --> 00:12:39,000 UDP ou User Datagram Protocol e TCP ou Transmission Control Protocol. 120 00:12:40,000 --> 00:12:45,000 Expliquei números de porta e quais números de porta seriam usados ​​em quais cenários. 121 00:12:46,000 --> 00:12:48,000 Expliquei o handshake de três vias do 122 00:12:49,000 --> 00:12:52,000 TCP que expliquei em janelas e expliquei números de sequência. 123 00:12:53,000 --> 00:12:55,000 Obrigado por assistir!