TCP转储,不能理解这4行吗?
TCP转储,不能理解这4行吗?
提问于 2014-11-17 20:47:18
我需要支持理解这四行。看起来像tcp转储,但实际上我不知道这里到底发生了什么。
13:13:22.407445 IP 192.168.246.128.54955 > 192.168.246.13.80: S 2910497703:2910497703(0) win 5840 <mss 1460,sackok,timestamp="" 518611="" 0,nop,wscale="" 6="">
13:13:22.407560 IP 192.168.246.13.80 > 192.168.246.128.54955: S 3762608065:3762608065(0) ack 2910497704 win 64240 <mss 1460,nop,wscale="" 0,nop,nop,timestamp="" 0="" 0,nop,nop,sackok="">
13:13:22.407963 IP 192.168.246.128.54955 > 192.168.246.13.80: . ack 1 win 92 <nop,nop,timestamp 518611="" 0="">
13:13:22.408321 IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0) ack 1 win 92 <nop,nop,timestamp 518611="" 0="">回答 2
Server Fault用户
发布于 2014-11-17 21:16:14
客户端192.168.246.128似乎试图连接到web服务器192.168.246.13,但是客户端的92字节窗口大小被慢读攻击预防机制拒绝。
Server Fault用户
发布于 2014-11-17 21:20:42
在阅读@GuntramBlohm对@XavierLucas的答复的评论后,我快速检查了某些nmap扫描在线路上的外观,并且在OP中的模式似乎与nmap -sT相匹配,称为TCP连接扫描。
例如,打开80端口的情况
# nmap -sT localhost -p80
11:06:20.734518 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [S], seq 2064268743, win 32792, options [mss 16396,sackOK,TS val 3605220739 ecr 0,nop,wscale 8], length 0
11:06:20.734540 IP 127.0.0.1.80 > 127.0.0.1.58802: Flags [S.], seq 2269627608, ack 2064268744, win 32768, options [mss 16396,sackOK,TS val 3605220739 ecr 3605220739,nop,wscale 8], length 0
11:06:20.734551 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [.], ack 1, win 129, options [nop,nop,TS val 3605220739 ecr 3605220739], length 0
11:06:20.734718 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [R.], seq 1, ack 1, win 129, options [nop,nop,TS val 3605220739 ecr 3605220739], length 080港封闭的个案
# nmap -sT localhost -p80
12:18:07.737075 IP 127.0.0.1.58294 > 127.0.0.1.80: Flags [S], seq 2548091563, win 32792, options [mss 16396,sackOK,TS val 672612170 ecr 0,nop,wscale 7], length 0
12:18:07.737085 IP 127.0.0.1.80 > 127.0.0.1.58294: Flags [R.], seq 0, ack 2548091564, win 0, length 0结束编辑tcpdump输出的原始解释
逐行13:13:22.407445
13:13:22.407445 IP 192.168.246.128.54955 > 192.168.246.13.80: S 2910497703:2910497703(0) win 5840 <mss 1460,sackok,timestamp="" 518611="" 0,nop,wscale="" 6="">- IP : 192.168.246.128与源端口54955试图连接到IP 192.168.246.13端口80 (http)
- TCP连接开始是通过设置由字母S指示的SYN标志来启动的。
- 连接尝试的序列号为2910497703
- 窗口大小为5840,最大分段大小为1460。
第二排: 13:13:22.407560
13:13:22.407560 IP 192.168.246.13.80 > 192.168.246.128.54955: S 3762608065:3762608065(0) ack 2910497704 win 64240 <mss 1460,nop,wscale="" 0,nop,nop,timestamp="" 0="" 0,nop,nop,sackok="">- 带有源端口80的IP 192.168.246.13响应192.168.246.128 src端口407445的连接尝试,标志为S和ack表示的SYN+ACK标志。
- 上面一行的序列号3762608065和序列号增加1,得到2910497704。
- 窗口设置为64240,最大段大小(mss) 1460。
第三行是三路握手的最终包。
13:13:22.407963 IP 192.168.246.128.54955 > 192.168.246.13.80: . ack 1 win 92 <nop,nop,timestamp 518611="" 0="">
- 它具有与上面相同的srcIP::port对,只设置了ACK标志。
最后一行
13:13:22.408321 IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0) ack 1 win 92 <nop,nop,timestamp 518611="" 0="">这一行读取192.168.246.128:54955和192.168.246.13:80之间的连接重置(RST标志)和指示迄今传输的数据已按预期接受的ACK标志。有关此问题的更多信息可以找到这里。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/645025
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号