Freigeben über

TCP-Paketflüsse

  • Artikel

In diesem Abschnitt wird die Reihenfolge beschrieben, in der die Ebenen der WFP-Filter-Engine (Windows Filtering Platform) während einer typischen TCP-Sitzung durchlaufen werden.

Hinweis

TCP-Paketflüsse für IPv6 folgen dem gleichen Muster wie für IPv4.

 

Hinweis

Nicht-TCP-Paketflows folgen dem gleichen Muster wie UDP-Paketflows.

 

TCP-Verbindungsherstellung

Server (Empfänger) führt passives Öffnen aus
  • bind: FWPM_LAYER_ALE_BIND_REDIRECT_V4 (nur Windows 7 /Windows Server 2008 R2)
  • bind: FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
  • listen: FWPM_LAYER_ALE_AUTH_LISTEN_V4

Client (Absender) führt Active Open aus

  • bind: FWPM_LAYER_ALE_BIND_REDIRECT_V4 (nur Windows 7 /Windows Server 2008 R2)
  • bind: FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
  • Connect: FWPM_LAYER_ALE_CONNECT_REDIRECT_V4 (nur Windows 7 /Windows Server 2008 R2)
  • connect: FWPM_LAYER_ALE_AUTH_CONNECT_V4
  • SYN: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • SYN: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Server

  • SYN: FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • SYN: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • SYN-ACK: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • SYN-ACK: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Client

  • SYN-ACK: FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN-ACK: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
  • ACK: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • ACK: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Server

  • ACK: FWPM_LAYER_INBOUND_IPPACKET_V4
  • ACK: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
  • Listen abgeschlossen. Der Server kann eine Annahme ausführen.

TCP SYN wird empfangen, wenn niemand am Port oder Protokoll lauscht

Server (Empfänger)

  • SYN: FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN: FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD
  • RST: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • RST: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Hinweis

TCP SYN ohne Endpunkt wird unter TRANSPORT verwerfen mit einer bestimmten Fehlerbedingung angegeben. Blockieren Sie dieses Paket bei TRANSPORT verwerfen, damit der Stapel das entsprechende Ereignis (RST) nicht sendet. Ein Beispiel für die Filterung im Stealth-Modus finden Sie unter Verhindern der Portüberprüfung.

 

Daten, die über eine TCP-Verbindung übertragen werden

Client (Absender)
  • Send
  • data: FWPM_LAYER_STREAM_V4
  • TCP-Segmente: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • IP-Datagramme: FWPM_LAYER_OUTBOUND_IPPACKET_V4

Server (Empfänger)

  • IP-Datagramme: FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP-Segmente: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • data: FWPM_LAYER_STREAM_V4
  • Daten stehen zum Lesen zur Verfügung.

Erfolgreiche erneute Autorisierung eines TCP-Pakets

Server (Empfänger)

  • IP-Datagramme: FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP-Segment: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • TCP-Segment: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • daten: FWPM_LAYER_STREAM_V4(INBOUND)

Fehler bei der erneuten Autorisierung eines TCP-Pakets

Server (Empfänger)

  • IP-Datagramme: FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP-Segment: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • TCP-Segment: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • TCP-Segment: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4_DISCARD

TCP-Verbindungsabschluss

Die BEENDIGUNG der TCP-Verbindung ist auf keiner WFP-Ebene angegeben.

Erneute ALE-Autorisierung

Filtern von Ebenenbezeichnern