Question tcpdump capture des réinitialisations TCP par hôte


J'essaye de comprendre où mon TCP se réinitialise sur mon serveur Web se produit. J'ai la capture suivante:

tcpdump -fnni bond0:-nnvvS -w dump.pcap 'tcp[tcpflags] & (tcp-rst) !=0'

Quand je regarde le pcap dans wirehark, il me montre les réinitialisations:

    Flags: 0x004 (RST)
    .... .... .1.. = Reset: Set
    .... .... ..0. = Syn: Not set
    .... .... ...0 = Fin: Not set

Window size value: 0
Calculated window size: 0
Window size scaling factor: -1 (unknown)
Checksum: 0x0f2f [validation disabled]
Good Checksum: False
Bad Checksum: False

mais ne me montre pas qui a réinitialisé la connexion. Je crois qu'il existe des commutateurs dans tcpdump qui me permettraient de voir qui réinitialise la connexion et éventuellement pourquoi. J'ai essayé divers interrupteurs sans succès.

Merci d'avance pour votre aide.


6
2018-06-19 16:21


origine


Le pair réinitialise la connexion. Pouvez-vous montrer les dernières lignes du journal? Une connexion est normalement terminée par FIN, FIN + ACK et / ou RST. - ott--
J'ai ajouté des informations supplémentaires à partir de la vue WireShark du paquet. - rahrahruby
Non, je voulais dire juste les dernières lignes d'une connexion, pas les détails d'une ligne. - ott--
Vous avez omis la partie très importante de la sortie de tcpdump, les adresses IP source et de destination ... - bortzmeyer
Avez-vous découvert la taxe de vente au détail? Marquer la réponse acceptée?


Réponses:


Faites attention au Src Port et Dst Port:

Transmission Control Protocol, Src Port: http (80), Dst Port: norton-lambert (2338), Seq: 1406431331, Len: 0
    Source port: http (80)
    Destination port: norton-lambert (2338)
    [Stream index: 3]
    Sequence number: 1406431331
    Header length: 20 bytes
    Flags: 0x004 (RST)
        000. .... .... = Reserved: Not set
        ...0 .... .... = Nonce: Not set
        .... 0... .... = Congestion Window Reduced (CWR): Not set
        .... .0.. .... = ECN-Echo: Not set
        .... ..0. .... = Urgent: Not set
        .... ...0 .... = Acknowledgment: Not set
        .... .... 0... = Push: Not set
        .... .... .1.. = Reset: Set
            [Expert Info (Chat/Sequence): Connection reset (RST)]
                [Message: Connection reset (RST)]
                [Severity level: Chat]
                [Group: Sequence]
        .... .... ..0. = Syn: Not set
        .... .... ...0 = Fin: Not set

Src Port: http (80) signifie que cela RST le paquet a été envoyé du côté serveur.

Si cela vient du côté client, alors vous devriez voir la raison:

Transmission Control Protocol, Src Port: 57715 (57715), Dst Port: http (80), Seq: 3509013939, Len: 0
    Source port: 57715 (57715)
    Destination port: http (80)
    [Stream index: 32]
    Sequence number: 3509013939
    Acknowledgment Number: 0xd1274db3 [should be 0x00000000 because ACK flag is not set]
        [Expert Info (Warn/Protocol): Acknowledgment number: Broken TCP. The acknowledge field is nonzero while the ACK flag is no
t set]
            [Message: Acknowledgment number: Broken TCP. The acknowledge field is nonzero while the ACK flag is not set]
            [Severity level: Warn]
            [Group: Protocol]
    Header length: 20 bytes
    Flags: 0x004 (RST)
        000. .... .... = Reserved: Not set
        ...0 .... .... = Nonce: Not set
        .... 0... .... = Congestion Window Reduced (CWR): Not set
        .... .0.. .... = ECN-Echo: Not set
        .... ..0. .... = Urgent: Not set
        .... ...0 .... = Acknowledgment: Not set
        .... .... 0... = Push: Not set
        .... .... .1.. = Reset: Set
            [Expert Info (Chat/Sequence): Connection reset (RST)]
                [Message: Connection reset (RST)]
                [Severity level: Chat]
                [Group: Sequence]
        .... .... ..0. = Syn: Not set
        .... .... ...0 = Fin: Not set

5
2017-07-09 19:55