免规则采集器列表算法(网络分流器高密度报文重组和会话规则！（一）)

　　免规则采集器列表算法(网络分流器高密度报文重组和会话规则！（一）)

　　融腾网网络分路器，又称核心网采集器，分为两大类：固网采集器和移动信令采集器！网络分离器是整个网络安全前端网络监控的重要基础设备！我们在网络安全中经常听到旁路、镜像、流采集、DPI深度包检测、五元组过滤等相关词汇。今天网络拆分器就给大家讲讲TCP包重组和会话规则！

　　高密网络分离器兼顾10G和100G

　　一、基本概念

　　四元组：源IP地址、目的IP地址、源端口、目的端口。

　　五元组：源IP地址、目的IP地址、协议号、源端口、目的端口。

　　六元组：源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的IP地址。

　　七元组：源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的IP地址和协议号。

　　二、五元组决定会话还是四元组？

　　五元组通常是指由源IP地址、源端口、目的IP地址、目的端口和传输层协议号五个数量组成的集合。例如：192.168.0.1/10000/TCP/121.14.88.76/80 构成一个五元组. 意思是IP地址为192.168.1.1的终端通过10000端口使用TCP协议，IP地址为121.14.88.76，终端有80端口用于连接通讯。

　　五元组可以唯一确定一个会话。

　　在TCP会话重组过程中，利用序列号来确定TCP包的顺序，可以解决数据包的乱序到达和重传问题，使用二维链表可以恢复TCP会话。难点在于解决多连接、IP报文无序到达、TCP会话重传等问题。

　　理由：TCP协议是TCP/IP协议族的重要组成部分，TCP数据流的重组是高层协议分析系统设计和实现的基础。TCP协议是面向连接的可靠传输协议，而TCP底层的IP协议是消息的不可靠协议。这就带来了一个问题：IP不能保证TCP报文的可靠顺序传输。为了解决这个问题，TCP采用了滑动窗口机制、字节流编号机制和快速重传算法机制。这样可以保证数据的可靠传输。

　　TCP 会话 (TCP_Session_IDT) 可以由四元组唯一标识。

　　利用HASH表快速找到位置特征，解决多个TCP会话同时处理的问题，快速处理多个会话。

　　TCP头中的Sequence Number是判断数据包是否重传和数据包乱序的重要参数。当 TCP 连接刚建立时，会为后续的 TCP 传输设置一个初始的 SequenceNumber。每次发送一个收录有效数据的 TCP 数据包时，都会相应地修改后续 TCP 数据包的 Sequence Number。如果前一个包的长度为N，那么这个包的Sequence Number就是前一个包的Sequence Number加N。 旨在保证TCP数据包按顺序传输，可以有效实现TCP的完整传输尤其是在数据传输中出现错误时，可以有效地纠正错误。

　　TCP重组数据文件写指针的SYN算法如下：

　　File_Init_Write_Pointer = Init_Sequence Number + 1；

　　File_write_Pointer = 当前序列号 – File_init_Write_point；

　　检查TCP会话是否存在漏洞，以确定会话重组的成功、失败和超时。

　　TCP 建立连接需要 3 次握手，终止连接需要 4 次握手。这是因为 TCP 连接是全双工的，每个方向都必须单独关闭。

　　规则一：六元组，协议号是TCP，应该是唯一的会话。

　　规则 2：TCP 头中的 4 元组应该是唯一的，但不唯一表示存在重传。

　　网络分离器