服务器 Gind.cn
  1. 服务器 Gind.cn
  3. TCP转储,不能理解这4行?
Intereting Posts
无法closuresTomcat – 传输错误 HAProxy MySQL检查失败永久和意外 缺lessSymantec Antivirus,企业版的pipe理控制台 卡桑德拉tmpdir改变位置 如何选项在Apache中工作 HP iLO2 / 3 cli:发送NMI 如果DNS更新花费数小时传播,dynamicDNS如何工作? 为什么我的域名消息不能通过谷歌组来重写,所以DMARC可以通过? 什么是Ubuntu的“不稳定 – >testing – >稳定”回购命名的RedHat / CentOS相当于? 是否有可能在Ansible中asynchronous运行site.yml中定义的angular色而不打开千位terminal? Simplecdn替代渐进stream式传输 如何在Apache(Windows)上有每日错误和访问日志? SQL Mail 2000是否与Outlook 2003一起使用? https使用查询string中的敏感数据 – 确保数据不被存储 如何监视用户对Windows SBS 2008上的共享文件夹的访问权限?

TCP转储,不能理解这4行?

我需要支持理解这4条线。 看起来像tcp转储,但我真的不明白到底发生了什么。 

13:13:22.407445 IP 192.168.246.128.54955 > 192.168.246.13.80: S 2910497703:2910497703(0) win 5840 <mss 1460,sackok,timestamp="" 518611="" 0,nop,wscale="" 6=""> 13:13:22.407560 IP 192.168.246.13.80 > 192.168.246.128.54955: S 3762608065:3762608065(0) ack 2910497704 win 64240 <mss 1460,nop,wscale="" 0,nop,nop,timestamp="" 0="" 0,nop,nop,sackok=""> 13:13:22.407963 IP 192.168.246.128.54955 > 192.168.246.13.80: . ack 1 win 92 <nop,nop,timestamp 518611="" 0=""> 13:13:22.408321 IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0) ack 1 win 92 <nop,nop,timestamp 518611="" 0="">

看起来像客户端192.168.246.128试图连接到networking服务器192.168.246.13但客户端的92个字节的窗口大小被慢读攻击防止机制拒绝。

编辑 @GuntramBlohm阅读评论@XavierLucas回答我做了一个快速检查如何做一些nmap扫描看起来像在电线上,似乎在OP模式匹配nmap-sT称为TCP连接扫描

例如端口80打开的情况 

 # nmap -sT localhost -p80 11:06:20.734518 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [S], seq 2064268743, win 32792, options [mss 16396,sackOK,TS val 3605220739 ecr 0,nop,wscale 8], length 0 11:06:20.734540 IP 127.0.0.1.80 > 127.0.0.1.58802: Flags [S.], seq 2269627608, ack 2064268744, win 32768, options [mss 16396,sackOK,TS val 3605220739 ecr 3605220739,nop,wscale 8], length 0 11:06:20.734551 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [.], ack 1, win 129, options [nop,nop,TS val 3605220739 ecr 3605220739], length 0 11:06:20.734718 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [R.], seq 1, ack 1, win 129, options [nop,nop,TS val 3605220739 ecr 3605220739], length 0

端口80closures的情况 

 # nmap -sT localhost -p80 12:18:07.737075 IP 127.0.0.1.58294 > 127.0.0.1.80: Flags [S], seq 2548091563, win 32792, options [mss 16396,sackOK,TS val 672612170 ecr 0,nop,wscale 7], length 0 12:18:07.737085 IP 127.0.0.1.80 > 127.0.0.1.58294: Flags [R.], seq 0, ack 2548091564, win 0, length 0

END EDIT原始解释tcpdump输出

逐行13:13:22.407445 

 13:13:22.407445 IP 192.168.246.128.54955 > 192.168.246.13.80: S 2910497703:2910497703(0) win 5840 <mss 1460,sackok,timestamp="" 518611="" 0,nop,wscale="" 6="">

  • IP:192.168.246.128与源端口54955尝试连接到IP 192.168.246.13端口80(http)

  • 通过设置字母S指示的SYN标志启动TCP连接启动

  • 连接尝试的序列号是2910497703

  • 窗口大小为5840,最大段大小为1460

第二行13:13:22.407560 

 13:13:22.407560 IP 192.168.246.13.80 > 192.168.246.128.54955: S 3762608065:3762608065(0) ack 2910497704 win 64240 <mss 1460,nop,wscale="" 0,nop,nop,timestamp="" 0="" 0,nop,nop,sackok="">

  • 具有源端口80的IP 192.168.246.13响应来自192.168.246.128 src端口407445的连接尝试,其具有由字母S和ack指示的标记SYN + ACK

  • 序列号3762608065,上面一行的序号加1,得到2910497704

  • 窗口设置为64240,最大段大小(mss)1460

第三行是三方握手的最后一个包 

 13:13:22.407963 IP 192.168.246.128.54955 > 192.168.246.13.80: . ack 1 win 92 <nop,nop,timestamp 518611="" 0="">

在这里输入图像描述

  • 它具有与上面相同的srcIP:port – dstIP:端口对,只设置了ACK标志。

最后一行 

 13:13:22.408321 IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0) ack 1 win 92 <nop,nop,timestamp 518611="" 0="">

该行读取192.168.246.128:54955和192.168.246.13:80之间的连接被复位(RST标志),并且表示到目前为止已传输的数据的ACK标志已被接受。 更多信息可以在这里find