TCP-Paketflüsse
In diesem Abschnitt wird die Reihenfolge beschrieben, in der die Ebenen der WFP-Filter-Engine (Windows Filtering Platform) während einer typischen TCP-Sitzung durchlaufen werden.
Hinweis
TCP-Paketflüsse für IPv6 folgen dem gleichen Muster wie für IPv4.
Hinweis
Nicht-TCP-Paketflows folgen dem gleichen Muster wie UDP-Paketflows.
TCP-Verbindungsherstellung
- Server (Empfänger) führt passives Öffnen aus
- bind: FWPM_LAYER_ALE_BIND_REDIRECT_V4 (nur Windows 7 /Windows Server 2008 R2)
- bind: FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
- listen: FWPM_LAYER_ALE_AUTH_LISTEN_V4
- bind: FWPM_LAYER_ALE_BIND_REDIRECT_V4 (nur Windows 7 /Windows Server 2008 R2)
- bind: FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
- Connect: FWPM_LAYER_ALE_CONNECT_REDIRECT_V4 (nur Windows 7 /Windows Server 2008 R2)
- connect: FWPM_LAYER_ALE_AUTH_CONNECT_V4
- SYN: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- SYN: FWPM_LAYER_OUTBOUND_IPPACKET_V4
- SYN: FWPM_LAYER_INBOUND_IPPACKET_V4
- SYN: FWPM_LAYER_INBOUND_TRANSPORT_V4
- SYN: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
- SYN-ACK: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- SYN-ACK: FWPM_LAYER_OUTBOUND_IPPACKET_V4
- SYN-ACK: FWPM_LAYER_INBOUND_IPPACKET_V4
- SYN-ACK: FWPM_LAYER_INBOUND_TRANSPORT_V4
- FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
- ACK: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- ACK: FWPM_LAYER_OUTBOUND_IPPACKET_V4
- ACK: FWPM_LAYER_INBOUND_IPPACKET_V4
- ACK: FWPM_LAYER_INBOUND_TRANSPORT_V4
- FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
- Listen abgeschlossen. Der Server kann eine Annahme ausführen.
Client (Absender) führt Active Open aus
Server
Client
Server
TCP SYN wird empfangen, wenn niemand am Port oder Protokoll lauscht
Server (Empfänger)
- SYN: FWPM_LAYER_INBOUND_IPPACKET_V4
- SYN: FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD
- RST: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- RST: FWPM_LAYER_OUTBOUND_IPPACKET_V4
Hinweis
TCP SYN ohne Endpunkt wird unter TRANSPORT verwerfen mit einer bestimmten Fehlerbedingung angegeben. Blockieren Sie dieses Paket bei TRANSPORT verwerfen, damit der Stapel das entsprechende Ereignis (RST) nicht sendet. Ein Beispiel für die Filterung im Stealth-Modus finden Sie unter Verhindern der Portüberprüfung.
Daten, die über eine TCP-Verbindung übertragen werden
- Client (Absender)
- Send
- data: FWPM_LAYER_STREAM_V4
- TCP-Segmente: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
- IP-Datagramme: FWPM_LAYER_OUTBOUND_IPPACKET_V4
- IP-Datagramme: FWPM_LAYER_INBOUND_IPPACKET_V4
- TCP-Segmente: FWPM_LAYER_INBOUND_TRANSPORT_V4
- data: FWPM_LAYER_STREAM_V4
- Daten stehen zum Lesen zur Verfügung.
Server (Empfänger)
Erfolgreiche erneute Autorisierung eines TCP-Pakets
Server (Empfänger)
- IP-Datagramme: FWPM_LAYER_INBOUND_IPPACKET_V4
- TCP-Segment: FWPM_LAYER_INBOUND_TRANSPORT_V4
- TCP-Segment: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
- daten: FWPM_LAYER_STREAM_V4(INBOUND)
Fehler bei der erneuten Autorisierung eines TCP-Pakets
Server (Empfänger)
- IP-Datagramme: FWPM_LAYER_INBOUND_IPPACKET_V4
- TCP-Segment: FWPM_LAYER_INBOUND_TRANSPORT_V4
- TCP-Segment: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
- TCP-Segment: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4_DISCARD
TCP-Verbindungsabschluss
Die BEENDIGUNG der TCP-Verbindung ist auf keiner WFP-Ebene angegeben.
Zugehörige Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für