TCP-Flags & Flow Control
Transport-Schicht (4)
Die TCP-Steuer-Flags
Im TCP-Header gibt es mehrere Control-Flags (auch Steuer-Bits genannt). Jedes Bit signalisiert dem Empfänger, wie ein Segment zu behandeln ist. Sie steuern Verbindungsaufbau, Datenübertragung und Abbau:
| Flag | Name | Bedeutung |
|---|---|---|
SYN | Synchronize | Verbindungsaufbau, Sequenznummern abgleichen |
ACK | Acknowledgement | Bestätigung empfangener Daten |
FIN | Finish | Geordneter Verbindungsabbau |
RST | Reset | Verbindung sofort abbrechen / abweisen |
PSH | Push | Daten sofort an die Anwendung weiterreichen |
URG | Urgent | Dringende Daten (Urgent-Pointer aktiv) |
Flusssteuerung (Flow Control)
Flow Control verhindert, dass ein schneller Sender einen langsamen Empfänger überflutet. Dazu meldet der Empfänger in jedem Segment ein Window (Empfangsfenster) zurück: die Anzahl Bytes, die er aktuell noch puffern kann. Der Sender darf nie mehr unbestätigte Daten unterwegs haben, als dieses Fenster groß ist. Sinkt das Window auf 0, pausiert der Sender, bis der Empfänger wieder Platz signalisiert.
Sliding Window
Das Sliding-Window-Verfahren erlaubt es, mehrere Segmente zu senden, ohne auf jede einzelne Bestätigung zu warten. Das Fenster „rutscht“ weiter, sobald ACKs eintreffen. So wird die Leitung effizient ausgelastet:
Gesendet & bestätigt | Gesendet, unbestätigt | Darf gesendet werden | Gesperrt
[##############] [================] [--------------] [xxxxxx]
<------- Window (z.B. 64 KB) ------>
Bei schnellen Verbindungen mit hoher Latenz wird das Fenster über die Option Window Scaling deutlich vergrößert.
Welches Flag bricht eine TCP-Verbindung sofort ab?
Congestion Control (kurz)
Während Flow Control den Empfänger schützt, schützt die Überlaststeuerung (Congestion Control) das Netz. TCP startet vorsichtig (Slow Start), erhöht die Senderate schrittweise und drosselt bei Paketverlust wieder, weil Verlust meist auf einen überlasteten Router hindeutet. Bekannte Algorithmen sind Reno, CUBIC und BBR.
Sicherheitsbezug
Ungewöhnliche Flag-Kombinationen werden gern für Port-Scans und Tarnversuche genutzt: Ein XMAS-Scan setzt z. B. FIN, PSH und URG gleichzeitig, um Firewalls zu umgehen. Stateful Firewalls erkennen solche unsinnigen Pakete und verwerfen sie. Führe Scans nur auf Systemen aus, die dir gehören oder für die du eine ausdrückliche Freigabe hast.