silvesterlangen.de
TCP Header auswerten
Schaut man den TCP-Header an, dann wird man quasi mit Hex-Zahlen einfach nur erschlagen und es setzt gerne mal eine Blockade ein, wenn man nicht aufpasst. Um das zu umgehen sollte man einen Punkt haben, die man sich gut merken kann und den initialen Anstoß gibt. Ich spare mir langatmiges Gefasel und steige direkt in die Sache ein, um etwas Zeit zu sparen. Fangen wir also an:
TCP-Header IPv4 (Ausschnitt aus Wireshark)
Soweit ich das bis jetzt verstanden habe beginnen die Ausschnitte in den Prüfungen mit der Versionsnummer (gelb markiert). Von da an kann man sich an das Schema halten und die Bits/Bytes abzählen. Zur Erinnerung: 8 Bit sind 1 Byte.
Nimmt man sich also den Wiresharkausschnitt und legt ihn gedanklich über das Schema, dann kann man quasi abzählen wo was steht. Die Version (gelb markiert: 45) ist quasi der Anfang. Somit ergeben sich zum Beispiel folgende Dinge:
IP-Version: 4
Source-IP: 192.168.2.11
Destin.-IP: 192.168.2.254
Protokoll: TCP
TTL: 128
Mögliche Fragen in dem Zusammenhang:
- Welche IP-Version wird verwendet?
- Wie ist die Quell-IP?
- Wie ist die Ziel-IP?
- Welches Protokoll wird verwendet?
- Wie ist die TTL?
- Welche Bedeutung hat die TTL?
- Was ist der Quellport?
- Was ist der Zielport?
- Wie wird der Quellport generiert?
Bei IPv6 ist der Header anders, aber das Prinzip bleibt das gleiche. Den Ausschnitt legt man immer über das Schema und dann kann dann abzählen.
