TCP 和 IP 有关知识

tcp 标志位：

• SYN 建立连接

• ACK 确认 确认号

• FIN 结束 四次握手连接释放

• PSH 传送
  当两个进程使用交互通信时，希望键入一个消息后立即收到对方的响应，在这种情况下 PSH 置 1 表明立即发送报文段

• RST 重置
  表明 TCP 连接出现严重差错（如由于主机崩溃或其它原因），必须释放连接，然后重新建立连接。还用来拒绝一个非法的报文段或拒绝打开一个连接

• URG 紧急
  紧急数据，立即传送。不需要按照原来的排列顺序。

端口扫描

秘密扫描：不被审计工具所检测的扫描技术。

1. connect 扫描
   三次握手完成，容易被防火墙和 IDS 检测，会留下日志记录。
   端口关闭：server 返回 RST/ACK，表明端口未开放。
2. SYN 扫描
   发送 SYN 包，收到 SYN/ACK 之后发送 RST 包断开连接。不会在目标主机上留下扫描痕迹。
3. FIN 扫描
   发送 FIN 数据包，响应为 RST 表示关闭。否则开放。
4. NULL 扫描
   反向扫描，将一个没有设置任何标志位的数据包发送给 TCP 端口，正常情况下，端口关闭会发送一个 RST 的数据包，开放则不会响应客户端。
5. ACK 扫描
   向目标主机发送 ACK 数据包，若返回的 RST 数据包的 TTL 值小于或等于 64，则端口开放，否则关闭。
6. Dump 扫描
   利用第三方僵尸计算机扫描。由僵尸主机向目标主机发送 SYN 数据包，返回 RST 或者 SYN/ACK，然后对 SYN/ACK 回复 RST，对 RST 不做回应。

报头格式

• TCP 报头格式
  源端口 目的端口
  序号
  确认号
  数据偏移 保留 标志位 窗口 最大 65535
  校验和 紧急指针

• UDP 报头格式
  源端口 目的端口 长度 校验和

• IP 报头格式
  版本 报头长度 服务 报文长度
  标识 标志 偏移
  生存时间 用户协议 报头校验和
  源地址
  目的地址

TCP/IP

TCP/IP 这个词有两层含义，一是指具体的 TCP 协议和 IP 协议，二是指 TCP/IP 协议群，这里面包含了应用层协议(HTTP, FTP, TELNET 等)，传输层协议(TCP, UDP)，网际协议(IP, ICMP, ARP)，路由控制协议(RIP, OSPF, BGP)等。