Pregunta TCP Dump, ¿no puedes entender estas 4 líneas?


Necesito apoyo para entender estas 4 líneas. se parece a tcp dump pero en realidad no entiendo lo que está sucediendo aquí.

13:13:22.407445 IP 192.168.246.128.54955 > 192.168.246.13.80: S 2910497703:2910497703(0) win 5840 <mss 1460,sackok,timestamp="" 518611="" 0,nop,wscale="" 6="">
13:13:22.407560 IP 192.168.246.13.80 > 192.168.246.128.54955: S 3762608065:3762608065(0) ack 2910497704 win 64240 <mss 1460,nop,wscale="" 0,nop,nop,timestamp="" 0="" 0,nop,nop,sackok="">
13:13:22.407963 IP 192.168.246.128.54955 > 192.168.246.13.80: . ack 1 win 92 <nop,nop,timestamp 518611="" 0="">
13:13:22.408321 IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0) ack 1 win 92 <nop,nop,timestamp 518611="" 0="">

6
2017-11-17 20:47


origen




Respuestas:


Parece cliente 192.168.246.128 Intenté conectar al servidor web 192.168.246.13 pero el tamaño de la ventana del cliente de 92 bytes fue rechazado por una ataque de lectura lenta mecanismo de prevención.


16
2017-11-17 21:16



buena captura con ese tamaño de ventana - Hrvoje Špoljar
Esto también puede ser causado por un enrutador / firewall en mal estado. Ver lwn.net/Articles/92727 - Zan Lynx
Tenga en cuenta que es el cliente el que restablece la conexión, no el servidor. Y el cliente envió ese tamaño de ventana de 92 bytes. Así que me parece más a un escaneo de puertos que a una prevención de ataque de lectura lenta. - Guntram Blohm
@XavierLucas bastante justo, no debería decir mal, pero "no es necesariamente correcto". Así, "creo" como en "parece". Convenido. - quadruplebucky
Esto podría ser un IDS que detecta el ataque de lectura lenta. Algunos sistemas IDS funcionan enviando RST paquetes a ambos extremos de la conversación, forjando la IP del otro extremo como la fuente. Para cada sistema, parece que el otro extremo restablece la conexión. - Barmar


EDITAR después de leer el comentario de @GuntramBlohm en la respuesta de @XavierLucas, hice una comprobación rápida de cómo se ven ciertos escaneos de nmap en el cable y parece que el patrón en OP coincide. nmap -sT conocido como TCP conectar escanear

p.ej. estuche con puerto 80 abierto

# nmap -sT localhost -p80
11:06:20.734518 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [S], seq 2064268743, win 32792, options [mss 16396,sackOK,TS val 3605220739 ecr 0,nop,wscale 8], length 0
11:06:20.734540 IP 127.0.0.1.80 > 127.0.0.1.58802: Flags [S.], seq 2269627608, ack 2064268744, win 32768, options [mss 16396,sackOK,TS val 3605220739 ecr 3605220739,nop,wscale 8], length 0
11:06:20.734551 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [.], ack 1, win 129, options [nop,nop,TS val 3605220739 ecr 3605220739], length 0
11:06:20.734718 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [R.], seq 1, ack 1, win 129, options [nop,nop,TS val 3605220739 ecr 3605220739], length 0

caso con el puerto 80 cerrado

# nmap -sT localhost -p80
12:18:07.737075 IP 127.0.0.1.58294 > 127.0.0.1.80: Flags [S], seq 2548091563, win 32792, options [mss 16396,sackOK,TS val 672612170 ecr 0,nop,wscale 7], length 0
12:18:07.737085 IP 127.0.0.1.80 > 127.0.0.1.58294: Flags [R.], seq 0, ack 2548091564, win 0, length 0

EDICIÓN FINAL interpretación original de la salida tcpdump

Linea por linea 13: 13: 22.407445

13:13:22.407445 IP 192.168.246.128.54955 > 192.168.246.13.80: S 2910497703:2910497703(0) win 5840 <mss 1460,sackok,timestamp="" 518611="" 0,nop,wscale="" 6="">
  • IP: 192.168.246.128 con el puerto de origen 54955 intenta conectarse al puerto IP 192.168.246.13 80 (http)

  • El inicio de la conexión TCP se inicia configurando SYN bandera indicada por la letra S

  • número de secuencia de intento de conexión es 2910497703

  • El tamaño de la ventana es 5840, tamaño máximo del segmento 1460.

Segunda linea en 13: 13: 22.407560

13:13:22.407560 IP 192.168.246.13.80 > 192.168.246.128.54955: S 3762608065:3762608065(0) ack 2910497704 win 64240 <mss 1460,nop,wscale="" 0,nop,nop,timestamp="" 0="" 0,nop,nop,sackok="">
  • IP 192.168.246.13 con puerto de origen 80 responde al intento de conexión desde 192.168.246.128 src puerto 407445 con indicadores SYN + ACK indicado por la letra S y ack

  • el número de secuencia 3762608065 y el número de secuencia de la línea anterior se incrementan en uno para obtener 2910497704

  • la ventana está configurada en 64240, tamaño máximo de segmento (mss) 1460

La tercera línea es el paquete final de apretón de manos de tres vías.

13:13:22.407963 IP 192.168.246.128.54955 > 192.168.246.13.80: . ack 1 win 92 <nop,nop,timestamp 518611="" 0="">

enter image description here

  • tiene el mismo par srcIP: port - dstIP: port como arriba con solo el indicador ACK establecido.

Última línea

13:13:22.408321 IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0) ack 1 win 92 <nop,nop,timestamp 518611="" 0="">

Esta línea lee esa conexión entre 192.168.246.128:54955 y 192.168.246.13:80 se restablece (indicador RST) y el indicador ACK que indica que los datos transmitidos hasta ahora se han aceptado como se esperaba. Más información sobre esto se puede encontrar aquí


9
2017-11-17 21:20