Prüfungsfragen Ethernet Frame, HTTP

[G0L0M]

Hallo,

folgende Fragen habe ich:

1. Warum läßt sich ein TCP Paket präziser filtern als ein UDP

2. was bedeutet Frame 18

3. was kann man aus win=1024 (TCP Segment) interpretieren

4. gegeben sind Port 1033, LEn 9 Flags 0x0018 -> Interpretation ?

5. was bedeutet http-keep-alive und der verbindungstimeout

Danke !

[Crash2001]

Kann zwar nicht auf alles eine Antwort geben, aber hier mal, was mir so spontan einfiel:

[...]1. Warum läßt sich ein TCP Paket präziser filtern als ein UDP

Die Frage ist, wovon filtern. Also auf einem reinen Router auf Layer 3 werden UDP-Pakete genau wie auch TCP-Pakete gefiltert, da dort ja nur bis Schicht 3 des OSI-Modells gefiltert werden kann. TCP und UDP sind aber auch Schicht 4 und daher gehe ich einfach mal von einer Hardware- oder Software-Firewall aus, wobei es da auch noch Unterschiede gibt, wie weit diese die Pakete analysieren...

Da könnte man die TCP-Pakete dann höchstens besser filtern, weil sie mehr Headerfelder mit entsprechenden Daten enthalten, die man analysieren bzw. wonach man filtern kann. Sind natürlich auch mehr Felder, die falsche/inakzeptable Werte enthalten können.

Schau doch mal hier: TCP und UDP

[...]3. was kann man aus win=1024 (TCP Segment) interpretieren

Das sollte die Window Size sein. Die ist Teil des TCP-Headers.

Ist die Anzahl der Daten-Oktetts (Bytes), beginnend bei dem durch das Acknowledgmentfeld indizierten Daten-Oktett, die der Sender dieses TCP-Paketes bereit ist zu empfangen.

[G0L0M]

Danke ! Falls noch jemanden Antworten auf die anderen Fragen hat, immer her damit

[Amstelchen]

ad 5)

Allgemeine Header

connection

In HTTP/1.0 waren alle Verbindungen nicht persistent, d.h., der Server hat die Verbindung zum Client (ggf. nach der Lieferung des Dokuments) abgebrochen. Wollte ein Client eine persistente Verbindung aufbauen, so verwendete er den connection-Header mit der Angabe keep-alive. In HTTP/1.1 verhält es sich umgekehrt: Verbindungen sind immer persistent, es sei denn, der Client sendet den connection-Header mit der Angabe close. Werte:

keep-alive: Der HTTP/1.0 Client wünscht eine persistente Verbindung.

close: Der HTTP/1.1 Client kündigt das Ende der persistenten Verbindung an.

siehe auch:

http://www.w3.org/Protocols/rfc2616/rfc2616-sec8.html

http://httpd.apache.org/docs/1.3/keepalive.html

s'Amstel

[ichrootdunix]

Zu 1 wenn ich mich nicht irre!

Also es gibt sogenannte Firewalls die mit Statefull Inspection arbeiten. Dass bedeutet die Firewall analysiert die Flags bei einer TCP Verbindung. (3 WAY HANDSHAKE). Wenn zum Beispiel ein Paket zu Firewall kommt mit den Flags SYN, ACK und vorher kein Paket an die Quelle mit SYN geschickt worden ist. Wird das Paket verworfen.

Alle Angaben ohne Gewähr!

mfg

[nic_power]

2. was bedeutet Frame 18

Keine Ahnung. Ohne den Kontext zu kennen, kann niemand diese Frage beantworten. Es könnte sich aber um den 18. Frame handeln.

4. gegeben sind Port 1033, LEn 9 Flags 0x0018 -> Interpretation ?

[Vermutungsmodus an]

Es handelt sich um einen TCP-Verbindung auf Port 1033 mit gesetzen PSH und ACK Flags. Mittels "ACK" wird signallisiert, dass die Daten angekommen sind "PUSH" (PSH) bedeutet, dass diese an die Anwendung weiterzugeben (== "nach oben reichen") sind.

[Vermutungsmodus aus]

Werden die Fragen tatsächlich in dieser Form gestellt? Ohne den Kontext zu kennen ist die Beantwortung weder eindeutig noch trivial.

Nic

[Captcha]

Keine Ahnung. Ohne den Kontext zu kennen, kann niemand diese Frage beantworten. Es könnte sich aber um den 18. Frame handeln.

[Vermutungsmodus an]

Es handelt sich um einen TCP-Verbindung auf Port 1033 mit gesetzen PSH und ACK Flags. Mittels "ACK" wird signallisiert, dass die Daten angekommen sind "PUSH" (PSH) bedeutet, dass diese an die Anwendung weiterzugeben (== "nach oben reichen") sind.

[Vermutungsmodus aus]

Werden die Fragen tatsächlich in dieser Form gestellt? Ohne den Kontext zu kennen ist die Beantwortung weder eindeutig noch trivial.

Nic

Frame 18 = Es handelt sich um den 18. Frame. Angegeben war ein Auszug aus einer mitgesnifften Telnet Verbindung

PSH-Flag war glaube ich auch richtig.

[blurrrr]

Ich bin grad bei der gleichen Aufgabenstellung....

"Interpretieren Sie die Angaben Dst Port: 1033, Len: 9 und Flags: 0x0018 (PSH, ACK) im Zusammenhang mit den Angaben des Frame 18."

Dst Port = Zielport des Zielsystems (Highport)

PSH = Push, sofern der Fensterbuffer (Window-Size) ausgeschöpft ist, werden die Daten an die nächst höhere Schicht (OSI) weitergereicht.

ACK = Bestätigung, kennt man ja ;-)

Allerdings scheiter ich hier grade auch an der LEN-Angabe.... Ich habe mir dazu RFC 793 - Transmission Control Protocol angeschaut, jedoch keine verwertbaren Informationen gefunden. Die einzige Erklärung die sich mir bietet ist (leider) diejenige welche, dass diese Angabe in Bits (bei 32 Bit per Bit - wie beim IP-Header) die Größe des Gesamtpaketes angibt (wobei ich mir da leider auch nicht 100%ig sicher bin).

Ergo würde sich das wie folgt darstellen lassen:

Len: 9 = 9 * 32 Bit = 288 Bit = 36 Byte - 20 Byte (Header) = 16 Byte Payload

Meine Vermutung ging in die Richtung der ASCII-Zeichen (da das ganze ja

eine Telnet-Session ist). Pro Zeichen 1 Byte. Das angegebene Paket war

eine Antwort die vom Zielsystem an den Host geschickt wurde, welcher

die Session aufgebaut hatte. Ergo eine Zeichenübertragung. Allerdings

gabs es nur folgende Angabe:

\r\n

Login:

Leider kam ich da nur auf 10 Zeichen bzw. + 2 Zeichen für den Zeilenumbruch.

Irgendwie kann meine Theorie dann auch nicht so wirklich passen. Ergo:

Ich hab auch keinen Schimmer - wäre aber toll, wenn es jemand weiss :-)

Gruß,

blurrrr