Share via

TCP 패킷 흐름

  • 아티클

이 섹션에서는 일반적인 TCP 세션 중에 WFP(Windows Filtering Platform) 필터 엔진의 계층이 트래버스되는 순서에 대해 설명합니다.

참고

IPv6에 대한 TCP 패킷 흐름은 IPv4와 동일한 패턴을 따릅니다.

 

참고

비 TCP 패킷 흐름은 UDP 패킷 흐름과 동일한 패턴을 따릅니다.

 

TCP 연결 설정

서버(수신기)가 수동 열기를 수행합니다.
  • bind: FWPM_LAYER_ALE_BIND_REDIRECT_V4(Windows 7/Windows Server 2008 R2에만 해당)
  • bind: FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
  • 수신 대기: FWPM_LAYER_ALE_AUTH_LISTEN_V4

클라이언트(보낸 사람)가 Active Open을 수행합니다.

  • bind: FWPM_LAYER_ALE_BIND_REDIRECT_V4(Windows 7/Windows Server 2008 R2에만 해당)
  • bind: FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
  • connect: FWPM_LAYER_ALE_CONNECT_REDIRECT_V4(Windows 7/Windows Server 2008 R2에만 해당)
  • connect: FWPM_LAYER_ALE_AUTH_CONNECT_V4
  • SYN: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • SYN: FWPM_LAYER_OUTBOUND_IPPACKET_V4

서버

  • SYN: FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • SYN: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • SYN-ACK: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • SYN-ACK: FWPM_LAYER_OUTBOUND_IPPACKET_V4

클라이언트

  • SYN-ACK: FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN-ACK: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
  • ACK: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • ACK: FWPM_LAYER_OUTBOUND_IPPACKET_V4

서버

  • ACK: FWPM_LAYER_INBOUND_IPPACKET_V4
  • ACK: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
  • 수신 대기가 완료되었습니다. 서버는 수락을 수행할 수 있습니다.

포트 또는 프로토콜에서 아무도 수신 대기하지 않고 수신된 TCP SYN

서버(수신기)

  • SYN: FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN: FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD
  • RST: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • RST: FWPM_LAYER_OUTBOUND_IPPACKET_V4

참고

엔드포인트가 없는 TCP SYN은 특정 오류 조건의 전송 삭제에 표시됩니다. 전송 취소에서 이 패킷을 차단하여 스택이 해당 이벤트(RST)를 보내지 않도록 합니다. 스텔스 모드 필터링의 예는 포트 검사 방지를 참조하세요.

 

TCP 연결을 통해 전송되는 데이터

클라이언트(보낸 사람)
  • send
  • data: FWPM_LAYER_STREAM_V4
  • TCP 세그먼트: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • IP 데이터그램: FWPM_LAYER_OUTBOUND_IPPACKET_V4

서버(수신기)

  • IP 데이터그램: FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP 세그먼트: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • data: FWPM_LAYER_STREAM_V4
  • 데이터를 읽을 수 있습니다.

TCP 패킷 재인증 성공

서버(수신기)

  • IP 데이터그램: FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP 세그먼트: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • TCP 세그먼트: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • data: FWPM_LAYER_STREAM_V4(INBOUND)

TCP 패킷의 재인증 실패

서버(수신기)

  • IP 데이터그램: FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP 세그먼트: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • TCP 세그먼트: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • TCP 세그먼트: FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4_DISCARD

TCP 연결 종료

TCP 연결 종료는 WFP 계층에 표시되지 않습니다.

ALE 다시 인증

계층 식별자 필터링