___________________________
 
     Não se lamente pelos dados que foram roubados ou
     perdidos sem antes se lamentar por não ter contratado 
     um profissional especializado em segurança!
_______________________________
                                                          by Claudio Rocha 

Menu
Principal
TCP Conexão
Log TCP conexão

Mensagem 1

Informa

BR

O caminho certo da Informação

 

Mensagem 2

SEJAM
BEM-VINDOS !

 

 
TCP - Processo de Conexão e ACK.:
 
Como regra geral deve-se observar que para cada pacote enviado pelo seu computador ou device, quase que necessariamente deverá existir um estimulo. Caso contrario, na maioria das vezes isso pode significar sinal de trojan/backdoor instalado na sua maquina/rede. 

O pacote TCP é considerado conexão garantida devido seu processo de conexão conhecido como 3 way handshake connection. A conexão TCP passa a ser monitorada desde que o primeiro pacote entra na rede para ser entregue. Isto significa que o protocolo TCP necessita fazer o acompanhamento do numero de seqüência do pacote, checksums etc. Segue abaixo um exemplo de como funciona uma conexão TCP entre cliente e servidor.

Quando se inicia uma conexão, o processo d 3 way handshake entra em jogo para garantir a conexão. O cliente (client) envia um pacote com o flag SYN marcado. O servidor (server) recebe o pacote e responde com um pacote com o flag ACKnowledge/SYN marcado. Então o cliente recebe e envia outro pacote com o flag ACK marcado. Pronta a conexão foi estabelecida entre o cliente e o servidor.
Para terminar a conexão o cliente envia um pacote com flag FIN marcado. O servidor ao receber o pacote de flag FIN do cliente responde com um pacote com o flag também marcado FIN.

Table de Flags TCP.

  • URG - O pacote contem dados importantes

  • ACK - Certificação que recebeu o ultimo pacote ou outra resposta.

  • PSH - Envia imediatamente mesmo se o buffer não estiver cheio.

  • RST - Reseta a conexão ( ocorreu erro ou coisa parecida ).

  • SYN - Inicia conexão.

  • FIN - Termina conexão 

 

Regra Básica para identificar irregularidades de segurança.

**
Um profissional de segurança deve manter em mente como regra básica que para cada pacote enviado seja ele qual for  TCP, UDP, ICMP etc. tem que existir um estimulo. Ou seja, alguém (cliente ou servidor) deverá estar solicitando conexão ou algo do tipo. Não existe um porque para um certo servidor ou outra maquina qualquer enviar pacotes principalmente de redes internas para redes externas sem existir um estimulo ou pedido de conexão. Esse é um caso clássico onde programas de backdoor rodam em background e enviam pacotes sem que tenham acontecido nenhum estimulo. 
* Salvo algumas implementações onde pacotes são enviados sem que haja nenhum estimulo.

 

Não existe 3 way handshake connection para o UDP protocolo devido sua forma simples e rápida de transmitir. O gráfico abaixo deixa bem claro porque o UDP é realmente simples. Fique atento aos detalhes entre os controles existentes no pacote TCP e que no pacote UDP não existem.

 



Top of Page[Back to Top]

     

Retornar