Flux de paquets TCP
Cette section décrit l’ordre dans lequel les couches du moteur de filtre de la plateforme de filtrage Windows (PAM) sont parcourues pendant une session TCP classique.
Note
Les flux de paquets TCP pour IPv6 suivent le même modèle que pour IPv4.
Établissement de la connexion TCP
- Le serveur (récepteur) effectue l’ouverture passive
- bind : FWPM_LAYER_ALE_BIND_REDIRECT_V4 (Windows 7 / Windows Server 2008 R2 uniquement)
- bind : FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
- écouter : FWPM_LAYER_ALE_AUTH_LISTEN_V4
- bind : FWPM_LAYER_ALE_BIND_REDIRECT_V4 (Windows 7 / Windows Server 2008 R2 uniquement)
- bind : FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
- connexion : FWPM_LAYER_ALE_CONNECT_REDIRECT_V4 (Windows 7 / Windows Server 2008 R2 uniquement)
- connexion : FWPM_LAYER_ALE_AUTH_CONNECT_V4
- SYN : FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- SYN : FWPM_LAYER_OUTBOUND_IPPACKET_V4
- SYN : FWPM_LAYER_INBOUND_IPPACKET_V4
- SYN : FWPM_LAYER_INBOUND_TRANSPORT_V4
- SYN : FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
- SYN-ACK : FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- SYN-ACK : FWPM_LAYER_OUTBOUND_IPPACKET_V4
- SYN-ACK : FWPM_LAYER_INBOUND_IPPACKET_V4
- SYN-ACK : FWPM_LAYER_INBOUND_TRANSPORT_V4
- FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
- ACK : FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- ACK : FWPM_LAYER_OUTBOUND_IPPACKET_V4
- ACK : FWPM_LAYER_INBOUND_IPPACKET_V4
- ACK : FWPM_LAYER_INBOUND_TRANSPORT_V4
- FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
- Écoutez terminé. Le serveur peut effectuer une acceptation.
Le client (expéditeur) effectue l’ouverture active
Serveur
Client
Serveur
TCP SYN reçu avec personne à l’écoute sur le port ou le protocole
Serveur (récepteur)
- SYN : FWPM_LAYER_INBOUND_IPPACKET_V4
- SYN : FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD
- RST : FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- RST : FWPM_LAYER_OUTBOUND_IPPACKET_V4
Note
TCP SYN sans point de terminaison n’est indiqué au point de terminaison TRANSPORT ignoré avec une condition d’erreur spécifique. Bloquez ce paquet au niveau du transport pour que la pile n’envoie pas l’événement correspondant (RST). Pour obtenir un exemple de filtrage en mode furtif, consultez Empêcher l’analyse des ports.
Données transmises via une connexion TCP
- Client (expéditeur)
- Envoyer
- données : FWPM_LAYER_STREAM_V4
- Segments TCP : FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- Datagrammes IP : FWPM_LAYER_OUTBOUND_IPPACKET_V4
- Datagrammes IP : FWPM_LAYER_INBOUND_IPPACKET_V4
- Segments TCP : FWPM_LAYER_INBOUND_TRANSPORT_V4
- données : FWPM_LAYER_STREAM_V4
- Les données sont disponibles en lecture.
Serveur (récepteur)
Réauthorisation réussie d’un paquet TCP
Serveur (récepteur)
- Datagrammes IP : FWPM_LAYER_INBOUND_IPPACKET_V4
- Segment TCP : FWPM_LAYER_INBOUND_TRANSPORT_V4
- Segment TCP : FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
- données : FWPM_LAYER_STREAM_V4(ENTRANT)
Échec de la réauthorisation d’un paquet TCP
Serveur (récepteur)
- Datagrammes IP : FWPM_LAYER_INBOUND_IPPACKET_V4
- Segment TCP : FWPM_LAYER_INBOUND_TRANSPORT_V4
- Segment TCP : FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
- Segment TCP : FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4_DISCARD
Arrêt de la connexion TCP
L’arrêt de connexion TCP n’est indiqué à aucune couche PAM.
Rubriques connexes