網路分流器－網路分流器－TCP重組和會話規則

戎騰網路網路分流器又名核心網採集器，又分為固網採集器和移動信令採集器兩大類！網路分流器是整個網路安全前端網

絡 監控的重要基礎裝備！ 我們在網路安全當中經常聽到旁路，映象，流量採集，DPI深度資料包檢測，五元組過濾等相關

詞 匯，今天網路分流器為大家講講TCP報文重組和會話規則！

戎騰網路分流器10G和100G兼顧的高密度採集裝置

一、基本概念

四元組：源IP地址、目的IP地址、源埠、目的埠。

五元組：源IP地址、目的IP地址、協議號、源埠、目的埠。

六元組：源MAC地址、源IP地址、源埠號、目的MAC地址、目的IP地址和目的IP地址。

七元組：源MAC地址、源IP地址、源埠號、目的MAC地址、目的IP地址和目的IP地址和協議號。

二、五元組確定一個會話還是四元組?

五元組通常是指由源IP地址，源埠，目的IP地址，目的埠和傳輸層協議號這五個量組成的一個集合。例如：192.168.0.

1/10000/TCP/121.14.88.76/80就構成了一個五元組。其意義是，一個IP地址為192.168.1.1的終端透過埠10000，利用

TCP協議，和IP地址為121.14.88.76，埠為80的終端進行連線通訊。

五元組能夠唯一確定一個會話。

在TCP會話重組時，使用序列號確定TCP報文順序可以解決資料包文不按順序到達及其重傳問題，並且利用二維連結串列對TCP

會話就行還原。難點在於解決多連線問題、IP包亂序到達和TCP會話重傳的問題。

原因：TCP協議是TCP/IP協議族中一個重要組成部分，TCP資料流的重組是高層協議分析系統設計和實現的基礎。TCP協議

是面向連線的可靠傳輸協議，而TCP下層的IP協議卻是面向報文的不可靠協議，這回帶來問題：IP不能保證TCP報文可靠

的、順序的傳輸。為了解決這個問題，TCP採取滑動視窗機制、位元組流編號機制和快速重傳演算法機制等。這可以保證資料的

可靠傳輸。

TCP會話(TCP_Session_IDT)可以透過四元組<源IP地址、目的IP地址、源埠號和目的埠號>唯一標識。

使用HASH錶快速查詢定位的特徵，解決多個TCP會話同時處理的問題，快速處理多個會話問題。

在TCP頭中Sequence Number是判斷該資料包是否重傳和包亂序的重要引數。在TCP連線剛建立時，會為後續TCP傳輸設

置一個初始的SequenceNumber，每傳送一個包含有效資料的TCP包，後續傳送的TCP資料包的Sequence Number會作

響應的修改，如果前一個包長度為N，則這個包的Sequence Number為前一個包Sequence Number加N。它是為保證TC

P資料包按序傳輸來設計的，可以有效的實現TCP資料的完整傳輸，特別是當資料傳輸出現錯誤時可以有效進行錯誤糾正。

TCP重組資料檔案寫指標的SYN演算法如下：

File_Init_Write_Pointer= Init_Sequence Number + 1;

File_write_Pointer= Current Sequence Number – File_init_Write_point;

檢查TCP會話中是否存在空洞，可以來確定會話重組成功、失敗和超時。

TCP建立連線需要3次握手，而終止一個連線需要4次握手。這是因為一個TCP連線時全雙工的，每個方向必須單獨的進行關

閉。

規則1：六元組<源MAC地址、源IP地址、源埠號、目的MAC地址、目的IP地址和目的IP地址>，協議號是TCP，它應該

是唯一的會話。

規則2：TCP頭中4元組<syn、fin、seq、len>，它應該是唯一的，不唯一說明存在重傳情況。

GEPON系列戎騰

---------------------

網路分流器