G0L0M Geschrieben 13. April 2006 Teilen Geschrieben 13. April 2006 Hallo, folgende Fragen habe ich: 1. Warum läßt sich ein TCP Paket präziser filtern als ein UDP 2. was bedeutet Frame 18 3. was kann man aus win=1024 (TCP Segment) interpretieren 4. gegeben sind Port 1033, LEn 9 Flags 0x0018 -> Interpretation ? 5. was bedeutet http-keep-alive und der verbindungstimeout Danke ! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 14. April 2006 Teilen Geschrieben 14. April 2006 Kann zwar nicht auf alles eine Antwort geben, aber hier mal, was mir so spontan einfiel: [...]1. Warum läßt sich ein TCP Paket präziser filtern als ein UDPDie Frage ist, wovon filtern. Also auf einem reinen Router auf Layer 3 werden UDP-Pakete genau wie auch TCP-Pakete gefiltert, da dort ja nur bis Schicht 3 des OSI-Modells gefiltert werden kann. TCP und UDP sind aber auch Schicht 4 und daher gehe ich einfach mal von einer Hardware- oder Software-Firewall aus, wobei es da auch noch Unterschiede gibt, wie weit diese die Pakete analysieren... Da könnte man die TCP-Pakete dann höchstens besser filtern, weil sie mehr Headerfelder mit entsprechenden Daten enthalten, die man analysieren bzw. wonach man filtern kann. Sind natürlich auch mehr Felder, die falsche/inakzeptable Werte enthalten können. Schau doch mal hier: TCP und UDP [...]3. was kann man aus win=1024 (TCP Segment) interpretierenDas sollte die Window Size sein. Die ist Teil des TCP-Headers.Ist die Anzahl der Daten-Oktetts (Bytes), beginnend bei dem durch das Acknowledgmentfeld indizierten Daten-Oktett, die der Sender dieses TCP-Paketes bereit ist zu empfangen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
G0L0M Geschrieben 14. April 2006 Autor Teilen Geschrieben 14. April 2006 Danke ! Falls noch jemanden Antworten auf die anderen Fragen hat, immer her damit Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Amstelchen Geschrieben 14. April 2006 Teilen Geschrieben 14. April 2006 ad 5) Allgemeine Header connection In HTTP/1.0 waren alle Verbindungen nicht persistent, d.h., der Server hat die Verbindung zum Client (ggf. nach der Lieferung des Dokuments) abgebrochen. Wollte ein Client eine persistente Verbindung aufbauen, so verwendete er den connection-Header mit der Angabe keep-alive. In HTTP/1.1 verhält es sich umgekehrt: Verbindungen sind immer persistent, es sei denn, der Client sendet den connection-Header mit der Angabe close. Werte: keep-alive: Der HTTP/1.0 Client wünscht eine persistente Verbindung. close: Der HTTP/1.1 Client kündigt das Ende der persistenten Verbindung an. siehe auch: http://www.w3.org/Protocols/rfc2616/rfc2616-sec8.html http://httpd.apache.org/docs/1.3/keepalive.html s'Amstel Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ichrootdunix Geschrieben 23. April 2006 Teilen Geschrieben 23. April 2006 Zu 1 wenn ich mich nicht irre! Also es gibt sogenannte Firewalls die mit Statefull Inspection arbeiten. Dass bedeutet die Firewall analysiert die Flags bei einer TCP Verbindung. (3 WAY HANDSHAKE). Wenn zum Beispiel ein Paket zu Firewall kommt mit den Flags SYN, ACK und vorher kein Paket an die Quelle mit SYN geschickt worden ist. Wird das Paket verworfen. Alle Angaben ohne Gewähr! mfg Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
nic_power Geschrieben 24. April 2006 Teilen Geschrieben 24. April 2006 2. was bedeutet Frame 18 Keine Ahnung. Ohne den Kontext zu kennen, kann niemand diese Frage beantworten. Es könnte sich aber um den 18. Frame handeln. 4. gegeben sind Port 1033, LEn 9 Flags 0x0018 -> Interpretation ? [Vermutungsmodus an] Es handelt sich um einen TCP-Verbindung auf Port 1033 mit gesetzen PSH und ACK Flags. Mittels "ACK" wird signallisiert, dass die Daten angekommen sind "PUSH" (PSH) bedeutet, dass diese an die Anwendung weiterzugeben (== "nach oben reichen") sind. [Vermutungsmodus aus] Werden die Fragen tatsächlich in dieser Form gestellt? Ohne den Kontext zu kennen ist die Beantwortung weder eindeutig noch trivial. Nic Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Captcha Geschrieben 24. April 2006 Teilen Geschrieben 24. April 2006 Keine Ahnung. Ohne den Kontext zu kennen, kann niemand diese Frage beantworten. Es könnte sich aber um den 18. Frame handeln. [Vermutungsmodus an] Es handelt sich um einen TCP-Verbindung auf Port 1033 mit gesetzen PSH und ACK Flags. Mittels "ACK" wird signallisiert, dass die Daten angekommen sind "PUSH" (PSH) bedeutet, dass diese an die Anwendung weiterzugeben (== "nach oben reichen") sind. [Vermutungsmodus aus] Werden die Fragen tatsächlich in dieser Form gestellt? Ohne den Kontext zu kennen ist die Beantwortung weder eindeutig noch trivial. Nic Frame 18 = Es handelt sich um den 18. Frame. Angegeben war ein Auszug aus einer mitgesnifften Telnet Verbindung PSH-Flag war glaube ich auch richtig. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
blurrrr Geschrieben 22. Oktober 2009 Teilen Geschrieben 22. Oktober 2009 Ich bin grad bei der gleichen Aufgabenstellung.... "Interpretieren Sie die Angaben Dst Port: 1033, Len: 9 und Flags: 0x0018 (PSH, ACK) im Zusammenhang mit den Angaben des Frame 18." Dst Port = Zielport des Zielsystems (Highport) PSH = Push, sofern der Fensterbuffer (Window-Size) ausgeschöpft ist, werden die Daten an die nächst höhere Schicht (OSI) weitergereicht. ACK = Bestätigung, kennt man ja ;-) Allerdings scheiter ich hier grade auch an der LEN-Angabe.... Ich habe mir dazu RFC 793 - Transmission Control Protocol angeschaut, jedoch keine verwertbaren Informationen gefunden. Die einzige Erklärung die sich mir bietet ist (leider) diejenige welche, dass diese Angabe in Bits (bei 32 Bit per Bit - wie beim IP-Header) die Größe des Gesamtpaketes angibt (wobei ich mir da leider auch nicht 100%ig sicher bin). Ergo würde sich das wie folgt darstellen lassen: Len: 9 = 9 * 32 Bit = 288 Bit = 36 Byte - 20 Byte (Header) = 16 Byte Payload Meine Vermutung ging in die Richtung der ASCII-Zeichen (da das ganze ja eine Telnet-Session ist). Pro Zeichen 1 Byte. Das angegebene Paket war eine Antwort die vom Zielsystem an den Host geschickt wurde, welcher die Session aufgebaut hatte. Ergo eine Zeichenübertragung. Allerdings gabs es nur folgende Angabe: \r\n Login: Leider kam ich da nur auf 10 Zeichen bzw. + 2 Zeichen für den Zeilenumbruch. Irgendwie kann meine Theorie dann auch nicht so wirklich passen. Ergo: Ich hab auch keinen Schimmer - wäre aber toll, wenn es jemand weiss :-) Gruß, blurrrr Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.