CSNA有奖活动第二期

超级版主 · 发表于 2008-3-13 09:48:48

1.TCP是面向连接的协议，在任何情况下，它都会表现出六个基本特征，请列出这些特征，并简述其作用。

2.数据包值过滤器中，掩码的含义是什么？

oldjiang · 发表于 2008-3-13 10:20:22

第二个问题，数据包从0开始数的第47字节的低两位为10，16进制0x02等于二进制10所以看的是后两位。有一点我不确定，是“最后两位等于10”还是“倒数第二位等于1”？

找一个SYN+ACK包，做过滤器如图1、图2，导出再导入，TCP协议下得到的都是SYN+ACK包。测试SYN包结果相似。我明白了，“长度”和“掩码”做与操作的结果等于“值”，跟“最后一位还是两位”无关。支持CSNA有奖活动！非常好的方式。

[ 本帖最后由 oldjiang 于 2008-3-13 22:10 编辑 ]

lvfengg · 发表于 2008-3-13 13:06:18

1、这个题目出的过于宽泛，答案是仁者见仁的，我可以随便说，比如tcp是可靠的、基于端口的、有ack number、seq number、标志位、offset、window、checksum等等，这都是tcp协议必备的特征……
To 4#：
lz可没有要求tcp仅有的特征……
如果真的要限制的话，那也不少的，tcp有活动窗口机制提供的流控、tcp的每一个标志位的意思都不是其他协议具有的、tcp有mss、tcp对每一个报文传输都有确认机制保证可靠……

2、掩码类似于IP地址对应网络掩码，这里的作用就是和过滤器中，将掩码与设置的value，转化为二进制后，进行按位“与"操作，得出的结果，就是捕获报文必须匹配的内容。
图中，掩码为0x02=二进制0000 0010，value为二进制的0000 0010，与操作后，仍然是0x02，即：报文在offset为47的地方，必须为0x02。

[ 本帖最后由 lvfengg 于 2008-3-13 13:48 编辑 ]

网络分析123 · 发表于 2008-3-13 13:35:13

TO 3#
所谓必备的特征，应是独一无二的，而端口、offset、校验和等特征并不是TCP所独有的吧。

徐徐渐进 · 发表于 2008-3-13 16:21:05

作为面向连接的的协议，它应具备“会话建立(session setup)、确认(acknowledgements)、顺序化(sequencing)、流量控制(flow control)、保留(keepalives)、会话终止(session teardown)”等特征。

从零开始 · 发表于 2008-3-13 17:05:47

TO lvfengg
按照3楼的说法，TCP标志位在科来解码中的掩码为0x3F，这是怎么计算出来的呢？请教！

lvfengg · 发表于 2008-3-13 17:29:20

To 6#:
TCP flags:
0 1 2 3 4 5 6 7
urg ack psh rst syn fin
只有前面两位，没有明确意义，因此，我们需要的标志位是二进制的：0011 1111，即:0x3f

lvfengg · 发表于 2008-3-17 19:08:12

这活动太没有意思了吧，这么长时间了，lz也不公布标准答案，或者评论一下各位的答案。帖子可以随便改，回答也不隐藏……
这样子，还算什么有奖活动，这样子的活动，浪费我的时间，再不参加了~

oldjiang · 发表于 2008-3-17 20:32:57

大家跟贴，各抒己见，我觉得挺好啊。美中不足的是这期看的人多，发言的少。“评论一下各位的答案”这个建议很好。

超级版主 · 发表于 2008-3-18 09:50:21

感谢lvfengg对论坛有奖活动提出的非常中肯的意见，我们会及时改进。

现将本期的答案作一个简单的解释：
1.TCP作为面向连接的协议，在任何情况下，它都会表现出以下六个基本特征：
会话建立(session setup)
确认(acknowledgements)
顺序化(sequencing)
流量控制(flow control)
保留(keepalives)
会话终止(session teardown)

而每个特征的作用，请大家跟帖讨论。

2.关于数据包过滤器中掩码的作用，请参考lvfengg的答案。

hudeg632 · 发表于 2008-3-18 23:01:54

2.数据包值过滤器中，掩码的含义是什么？

说一下我对掩码的肤浅的理解,不对的地方,请大家帮助.
1，当掩码的值或（掩码与数值同位的值）小于数值时，数据包全通过。

2，当掩码的值大于或等于数值,(数值与掩码的位数相同时).掩码为1,检查该位.掩码位为0时,不检查该位.

3，当掩码M的值大于数值V,且掩码与数值同位的值大于或等于数值M，掩码为1,检查该位.掩码位为0时,不检查该位
上结论都通过科来数据包实验证实..
总之记住掩码为1,检查该位.掩码位为0时,不检查该位．（一般是后两种情况使用）

记得加分哟

[ 本帖最后由 hudeg632 于 2008-3-18 23:04 编辑 ]

hudeg632 · 发表于 2008-3-18 23:12:06

原帖由于 2008-3-18 09:50 发表
感谢lvfengg对论坛有奖活动提出的非常中肯的意见，我们会及时改进。

2.关于数据包过滤器中掩码的作用，请参考lvfengg的答案。

超级版主，你谈的是数据包过滤的问题吧，好象lvfeng是答所非问吧。

请教一下，数值为0，掩码为0，数据包的过滤效果？

[ 本帖最后由 hudeg632 于 2008-3-18 23:18 编辑 ]

oldjiang · 发表于 2008-3-19 09:18:46

楼上，“总之记住掩码为1,检查该位.掩码位为0时,不检查该位”，怎么检查？检查的方法

徐徐渐进 · 发表于 2008-3-19 10:48:31

这里掩码的作用与IP的掩码类似，如当我们建立一个只捕获同步位置1的数据包的过滤器时，所有数据包的TCP位都会与这个掩码进行与操作，如得到的值与过滤器中的值相同，则该数据包就会被捕获，如不相同，数据包则会被丢弃。

hudeg632 · 发表于 2008-3-19 13:38:58

原帖由 oldjiang 于 2008-3-19 09:18 发表
楼上，“总之记住掩码为1,检查该位.掩码位为0时,不检查该位”，怎么检查？检查的方法

在上面后两个条件下,当掩码位为1时,如对应的数值位是0,过滤时就要求这一位必须为0,如对应的数值位是1,过滤时就要求这一位必须是1.
当掩码位为0时,过滤时就不考虑数值对应位,不管数值位是0或1都可以,也就是说在过滤中没有作用.

也不知道我的理解对不对,请教oldjiang兄对这个问题的看法?

hudeg632 · 发表于 2008-3-19 13:49:28

原帖由 oldjiang 于 2008-3-13 10:20 发表
第二个问题，数据包从0开始数的第47字节的低两位为10，16进制0x02等于二进制10所以看的是后两位。有一点我不确定，是“最后两位等于10”还是“倒数第二位等于1”？

2、掩码类似于IP地址对应网络掩码，这里的作用就是和过滤器中，将掩码与设置的value，转化为二进制后，进行按位“与"操作，得出的结果，就是捕获报文必须匹配的内容。
图中，掩码为0x02=二进制0000 0010，value为二进制的0000 0010，与操作后，仍然是0x02，即：报文在offset为47的地方，必须为0x02。

答案是倒数第二位必须等于1,最后一位为0或1都可.

[ 本帖最后由 hudeg632 于 2008-3-19 13:55 编辑 ]

超级版主 · 发表于 2008-3-19 17:43:30

超级版主，你谈的是数据包过滤的问题吧，好象lvfeng是答所非问吧。请教一下，数值为0，掩码为0，数据包的过滤效果？

lvfeng对过滤器掩码的解释“报文在offset为47的地方，必须为0x02”是正确的，在科来网络分析系统中，过滤器的掩码与IP的掩码类似，当我们建立过滤器捕包时，数据包都会与这个掩码进行与操作，如结果与‘值’相同，则该数据包就会被过滤。

hudeg632 · 发表于 2008-3-20 19:56:47

按这样设置过滤器，放行数据包，捕到了后两位为11（二进制）的数据包。是我哪点没对吧？

[ 本帖最后由 hudeg632 于 2008-3-20 19:59 编辑 ]

CSNA有奖活动第二期

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分