なぜ突然、サーバーの応答の安全装置の信号CLR慎重ネットワーク

その他 2019-12-07 12:34:25 訪問数: null

RSTの原因

  以下の3種類のTCP RSTパケットを送信するための一般的な理由があります。

      1、SYNセグメント指定された宛先ポートが待機処理で受信されていません。

         2、TCPは、既存の接続を放棄したいと思います。

      図3は、TCPデータセグメントを受信し、これに関連して識別されたデータセグメントが存在しません。

  最初のケースでは、一般的な例は、端末アクセスサーバが開いているポートではない、サーバーはRSTパケットを返信します。ポートが開いているか、サーバがポート要求メッセージにブロックされていない場合、例えば、Webサーバポート21(FTP)へのアクセスは、サーバはRSTパケットに応答して端末SYNパケットを与える可能性があります。したがって、多くの場合、ターミナルサーバSYNパケット応答RSTパケットは、ポートが開いていない宛先を決定するために、ポートスキャナのための信頼できる基礎として役立つことができます。もちろん、ほとんどのシナリオでは、サーバーはポートが応答せずに破棄されます到達することは、より安全な実装である彼らのメッセージに耳を傾けることはありません。

  第2の状況が良く、FINを送信している既存のTCP接続を解体するための通常の方法を理解され、FINパケットが送信されたすべてのキューに入れられたデータの後に送信されますので、それもあり、通常の状況下でデータ損失は起こりません。これは、正常解放と呼ばれます。RSTが送信され、既存のTCP接続を解体する別の方法は、この方法の利点は、完成されたデータの送信を待たずに、接続がすぐに異常リリースと呼ばれて除去RSTを介して接続され、終了することができるということです。サーバーは、チェーンを解体する2つの異なる方法で異なる治療を提供するために必要な時間のほとんどは、多くのサーバは、特に最終用途の多数で、それが起こるいったんので、注意が必要で、解体・チェーンにこの時間をRST方法を認識していないがあるRST道のスプリットチェーンは、その通常の業務側の処理能力に影響を与え、サーバー側の接続を効果的に解放することができない可能性があります。

  最後の場合、TCP 4タプル(IP送信元と宛先、送信元および宛先ポート)を一意に、フラグビットはSYNを設定しなければならない最初のTCPコネクション確立メッセージをトリガする、TCP状態機械の存在による接続を識別することによってしたがって、サーバは、最初の非SYNパケットの新しい4タプル(ローカルサーバが接続されていない)RSTパケットに応答して端末にパケットを廃棄する受信した場合。最後の場合、TCP 4タプル(IP送信元と宛先、送信元および宛先ポート)を一意に、フラグビットはSYNを設定しなければならない最初のTCPコネクション確立メッセージをトリガする、TCP状態機械の存在による接続を識別することによってしたがって、サーバは、最初の非SYNパケットの新しい4タプル(ローカルサーバが接続されていない)RSTパケットに応答して端末にパケットを廃棄する受信した場合。

症状

  ユーザー名とパスワードのWebページが表示さを入力し、接続がリセットされた端末のWeb経由でログイン、。Etherealのパケット次のように:

  ターミナルポート10.153.42.65 10.153.47.104アクセスサーバ8051、およびスリーウェイハンドシェイクが確立された後、端末はサーバに認証要求を送信し、ユーザー名とパスワードを送信し、サーバーが直ちにRST解体既存の接続を応答します。

分析

  上記の3つのケースを比較することによって、我々はそれだけで2試合の理由を見つけましたが、この場所では、単に2サーバーとしてそれを参照するには理由が確かにRSTパケットを返すことができ、サーバーはRSTに返信したい理由を説明することはできません。

  私たちが質問を考慮する必要があり、この時間:このRSTパケットは、実際にサーバからの応答ではないでしょうか?観点から配列RSTパケットGETに、実際(SYNフラグ論理的に1つのバイトのシーケンス番号を占有するので、RSTパケットのシーケンス番号が第2のパケットのシーケンス番号+1である)プリアンブルパケットに対応することができます。TTL値で、ストリーミングサーバかどうかを決定する良い方法は、同じ方向に送信されたIPパケットのヘッダを比較することです。TCPは、順序のうちに非常に敏感であるため、ネットワークデバイスは、一般に(五重、IPソースおよび宛先、送信元および宛先ポート、プロトコルによって)転写することによって作製されるように、ネットワークデバイスによって転送データパケットは、より深刻な障害を紹介しますしたがって、ほとんどの場合、パケットの流れと同じ方向に捕捉されたデータストリームは、常に我々は第二及び上のスクリーンショットを見て、この判断に基づいて、同一のTTL値を有しますパケットのTTL値:

  TTL 251の第二の値:

  第五のパケットのTTL 122:

  因此,基本可以判断RST报文为中间传输设备发出。排查流量路径上的安全设备,在IPS中找到对应的日志:

  由于用户名和密码都是admin且明文传输,因此触发了Web用户登录弱口令的防御规则,连接被重置,IPS冒充服务器向终端发送RST报文拆链,如果在IPS设备抓包,可以看到IPS也同时冒充终端发送了RST给服务器。

  在很多环境中,中间安全设备通过RST拦截报文时初始TTL一般是64、128、255,这时候根据终端抓包的TTL就能反推出进行拦截的安全设备所处的位置。当然也有一些安全设备进行拦截的时候TTL初始值无迹可寻,这时候只能逐跳排查了。

 

おすすめ

転載: www.cnblogs.com/yurang/p/11980464.html
おすすめ
ランキング
1028リストの並べ替え(25分)
pom.xml ファイルがアイデアによって認識されません
単一テーブルのデータのSQLクエリ組み合わせ(C)
gitのinitとgitの初期化-bare違いやソースファイルなしで問題を解決するには、WWWで見ることができません
BULLETエンジンスターター - コンパイル(cmakeのとPreMake)
vue-crossドメインの問題
ThingsBoard フロントエンド プロジェクトの組み込みコンポーネント開発
単元の学習過程での難しい問題とその解決策 -----(1)
MongoDBのデータは、クライアントで表示することができますが、作業はコマンドラインでlinuxでありません
How to check your PYTHONPATH environment variable
アーカイブ
もっと
2024-06-02(0)
2024-06-01(1)
2024-05-31(1)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(0)
2024-05-25(1)
2024-05-24(11)

コードワールド

© 2018 codetd.com