珠海网站备案,网站响应式与电脑版有什么区别,租云服务器一个月多少钱,网站源码怎么打开1#xff0c;首先回顾一下TCP协议#xff1a; TCP数据包中有六个标志位(Code Bits)#xff1a;6 位标志域。表示为#xff1a;紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是#xff1a;URG、ACK、PSH、RST、SYN、FIN。… 1首先回顾一下TCP协议 TCP数据包中有六个标志位(Code Bits)6 位标志域。表示为紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是URG、ACK、PSH、RST、SYN、FIN。在整个TCP数据传输过程中ACK位除了在第一次握手的时候置位为0外其他任何时候都置位为1。 三次握手过程 在TCP/IP协议中TCP协议提供可靠的连接服务采用三次握手建立一个连接。 第一次握手建立连接时客户端发送syn包(synj)到服务器并进入SYN_SEND状态等待服务器确认 第二次握手服务器收到syn包必须确认客户的SYNackj1同时自己也发送一个SYN包synk即SYNACK包此时服务器进入SYN_RECV状态 第三次握手客户端收到服务器的SYNACK包向服务器发送确认包ACK(ackk1)此包发送完毕客户端和服务器进入ESTABLISHED状态完成三次握手。 2再次拿一个ACL来举例说明摘自TCP/IP路由技术 第一卷 第556页 假设你实现了一个访问列表可以阻止外部发起的TCP会话进入到你的网络中但是你又想让内部发起的TCP会话的响应通过那应该怎么办通过检查TCP段头内的ACK和RST标记关键字established可以实现这一点。如果这两个标记都没有被设置表明源点正在向目标建立TCP连接那么匹配不会发生。最终报文将会在访问列表中的后继行中被拒绝。示例如下 access-list 110 permit tcp any 172.22.0.0 0.0.255.255 established access-list 110 permit tcp any host 172.22.15.83 eq 25 access-list 110 permit tcp 10.0.0.0 0.255.255.255 172.22.114.0 0.0.255 eq 23 第1行如果链接是从网络172.22.0.0发起的那么允许从热和原电到该网络的TCP报文通过 第2行允许来自任意源点且目标端口号是主机172.22.16.83的端口25的TCP报文通过 第3行允许来自网络10.0.0.0去向网络172.22.114.0/24且目标端口为23的TCP报文通过。 通过上面的ACL大家有没有注意过一个从any到172.22.15.83的25端口的连接TCP的三次握手第一次握手肯定是需要匹配第2行ACL因为此报文的标志位ACK置位为0不能匹配第1行ACL。但是此会话的后面的所有数据报文都会匹配第1行了因为此报文的标志ACK已经置位为1了。这里是否有问题请相关牛人鉴定 3ACL对分片包的处理摘自一英文技术宝典经我翻译如下 当一IP包被分片时仅在第一个分片中包含所有三层与四层信息而后续分片则只包含三层信息四层信息丢失。 ACL的处理机制 对于permit ACEs当第一分片被匹配上后后续分片也会匹配上不检查四层信息 对于deny ACEs所有分片都要检查三、四层信息。实际上对于deny ACEs当第一分片被匹配上后被丢弃而后续分片由于无四层信息则不能匹配该deny ACEs可能在后面检查时允许通过则传到目标地后由于不能进行重组而被丢弃。但这样占用了带宽及目标主机的CPU。 综合以上根据3是否可以判定ACL的处理机制有点smart它可以根据每条ACE条目记录某一个时段的匹配内容匹配内容主要包括源和目标IP地址甚至端口号tcp条目从而不会将流量报文匹配错。也就是说根据2说的同一会话的后续报文不会去匹配第1行ACL而根据ACL的记录内容去匹配第2行ACL。 转载于:https://blog.51cto.com/ghostzyz/816401
