Freigeben über

TCP-Paketflüsse

  • Artikel

In diesem Abschnitt wird die Reihenfolge beschrieben, in der die Ebenen des WFP-Filtermoduls (Windows Filtering Platform) während einer typischen TCP-Sitzung durchlaufen werden.

Anmerkung

TCP-Paketflüsse für IPv6 folgen demselben Muster wie für IPv4.

 

Anmerkung

Nicht-TCP-Paketflüsse folgen demselben Muster wie UDP-Paketflüsse.

 

TCP-Verbindungseinrichtung

Server (Empfänger) führt passives Öffnen aus
  • bind: FWPM_LAYER_ALE_BIND_REDIRECT_V4 (nur Windows 7 / Windows Server 2008 R2)
  • bind: FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
  • listen: FWPM_LAYER_ALE_AUTH_LISTEN_V4

Client (Absender) führt Active Open aus

  • bind: FWPM_LAYER_ALE_BIND_REDIRECT_V4 (nur Windows 7 / Windows Server 2008 R2)
  • bind: FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
  • connect: FWPM_LAYER_ALE_CONNECT_REDIRECT_V4 (nur Windows 7 / Windows Server 2008 R2)
  • connect: FWPM_LAYER_ALE_AUTH_CONNECT_V4
  • SYN: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • SYN: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Server

  • SYN: FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • SYN: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • SYN-ACK: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • SYN-ACK: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Kunde

  • SYN-ACK: FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN-ACK: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
  • ACK: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • ACK: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Server

  • ACK: FWPM_LAYER_INBOUND_IPPACKET_V4
  • ACK: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
  • Die Überwachung ist abgeschlossen. Der Server kann eine Annahme durchführen.

TCP SYN empfangen, bei dem niemand auf den Port oder das Protokoll lauscht

Server (Empfänger)

  • SYN: FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN: FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD
  • RST: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • RST: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Anmerkung

TCP SYN ohne Endpunkt wird beim TRANSPORT-Verwerfen mit einer bestimmten Fehlerbedingung angegeben. Blockieren Sie dieses Paket beim TRANSPORT-Verwerfen, damit der Stapel das entsprechende Ereignis (RST) nicht sendet. Ein Beispiel für die Stealth-Modus-Filterung finden Sie unter Preventing Port Scanning.

 

Über eine TCP-Verbindung übertragene Daten

Client (Absender)
  • Senden
  • Daten: FWPM_LAYER_STREAM_V4
  • TCP-Segmente: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • IP-Datagramme: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Server (Empfänger)

  • IP-Datagramme: FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP-Segmente: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • Daten: FWPM_LAYER_STREAM_V4
  • Daten sind zum Lesen verfügbar.

Erfolgreiche Erneute Dokumenterstellung eines TCP-Pakets

Server (Empfänger)

  • IP-Datagramme: FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP-Segment: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • TCP-Segment: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • data: FWPM_LAYER_STREAM_V4(INBOUND)

Fehler bei der erneuten Dokumenterstellung eines TCP-Pakets.

Server (Empfänger)

  • IP-Datagramme: FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP-Segment: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • TCP-Segment: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • TCP-Segment: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4_DISCARD

Beendigung der TCP-Verbindung

Die Beendigung der TCP-Verbindung wird auf keiner WFP-Ebene angegeben.

ALE Reauthorization

Filterschichtbezeichner