通过

TCP 数据包流

  • 项目

本部分介绍在典型 TCP 会话期间遍历 Windows 筛选平台 (WFP) 筛选器引擎层的顺序。

注意

IPv6 的 TCP 数据包流遵循与 IPv4 相同的模式。

 

注意

非 TCP 数据包流遵循与 UDP 数据包流相同的模式。

 

建立 TCP 连接

服务器 (接收方) 执行被动打开
  • 绑定:仅FWPM_LAYER_ALE_BIND_REDIRECT_V4 (Windows 7/Windows Server 2008 R2)
  • bind:FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
  • 侦听:FWPM_LAYER_ALE_AUTH_LISTEN_V4

客户端 (发送方) 执行活动打开

  • 绑定:仅FWPM_LAYER_ALE_BIND_REDIRECT_V4 (Windows 7/Windows Server 2008 R2)
  • bind:FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
  • 连接:仅FWPM_LAYER_ALE_CONNECT_REDIRECT_V4 (Windows 7/Windows Server 2008 R2)
  • 连接:FWPM_LAYER_ALE_AUTH_CONNECT_V4
  • SYN:FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • SYN:FWPM_LAYER_OUTBOUND_IPPACKET_V4

服务器

  • SYN:FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN:FWPM_LAYER_INBOUND_TRANSPORT_V4
  • SYN:FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • SYN-ACK:FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • SYN-ACK:FWPM_LAYER_OUTBOUND_IPPACKET_V4

客户端

  • SYN-ACK:FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN-ACK:FWPM_LAYER_INBOUND_TRANSPORT_V4
  • FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
  • 确认:FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • 确认:FWPM_LAYER_OUTBOUND_IPPACKET_V4

服务器

  • 确认:FWPM_LAYER_INBOUND_IPPACKET_V4
  • 确认:FWPM_LAYER_INBOUND_TRANSPORT_V4
  • FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4
  • 侦听完成。 服务器可以执行接受。

已收到 TCP SYN,没有人侦听端口或协议

服务器 (接收方)

  • SYN:FWPM_LAYER_INBOUND_IPPACKET_V4
  • SYN:FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD
  • RST:FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • RST:FWPM_LAYER_OUTBOUND_IPPACKET_V4

注意

没有终结点的 TCP SYN 在具有特定错误条件的 TRANSPORT 放弃处指示。 在 TRANSPORT 丢弃处阻止此数据包,导致堆栈不 (RST) 发送相应的事件。 有关隐藏模式筛选的示例,请参阅 阻止端口扫描

 

通过 TCP 连接传输的数据

客户端 (发送方)
  • 发送
  • 数据:FWPM_LAYER_STREAM_V4
  • TCP 段:FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • IP 数据报:FWPM_LAYER_OUTBOUND_IPPACKET_V4

服务器 (接收方)

  • IP 数据报:FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP 段:FWPM_LAYER_INBOUND_TRANSPORT_V4
  • 数据:FWPM_LAYER_STREAM_V4
  • 数据可供读取。

成功重新授权 TCP 数据包

服务器 (接收方)

  • IP 数据报:FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP 段:FWPM_LAYER_INBOUND_TRANSPORT_V4
  • TCP 段:FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • 数据:FWPM_LAYER_STREAM_V4 (入站)

TCP 数据包的重新授权失败

服务器 (接收方)

  • IP 数据报:FWPM_LAYER_INBOUND_IPPACKET_V4
  • TCP 段:FWPM_LAYER_INBOUND_TRANSPORT_V4
  • TCP 段:FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
  • TCP 段:FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4_DISCARD

TCP 连接终止

TCP 连接终止未在任何 WFP 层上指示。

ALE 重新授权

筛选层标识符