即使服务器没有监听特定端口,TCP 会话也已建立

网络工程 tcp 防火墙 线鲨 加强 财富网
2022-03-06 00:31:40

尝试在端口 5060 上尝试在 Citrix 主机和后端服务器之间建立 TCP 会话时,我发现了一种奇怪的行为。当我从 Citrix 主机执行“telent 172.18.52.73 5060”时,我收到“已连接到...”消息。问题是目标服务器没有在 TCP 端口 5060 上侦听,我不应该收到此消息。

根据 Wireshark 的结果,目标服务器不会以“TCP SYN,ACK”回复“TCP SYN”数据包,而是发送 TCP 重传。

在此处输入图像描述

但是当我在 Citrix 主机(流量来源)上检查 Wireshark 结果时,我可以看到无论如何都建立了会话,请在下面查看。

在此处输入图像描述

另一件事是,当我在 Citrix 主机上收到“已连接”消息时,无法通过它发送任何内容。我的意思是,如果我尝试按 Enter 键或任何其他键,会话就会立即关闭。您也可以在上图中看到它。

这目前没有影响我们的网络,但我只是想知道为什么会这样。我以前从未见过。错误、功能或恶意软件?

绘图以便更好地理解:

在此处输入图像描述

非常感谢您对此的任何点击。

丹尼尔

1个回答

Fortinet 有一个用于 SIP(​​一种 VoIP 协议)的 ALG(代理),因为该协议使用动态端口(如 FTP),因此需要以特定方式处理。端口 5060 是 SIP 的默认端口。这意味着您正在连接到 Fortinet 防火墙上的 SIP ALG。而且,由于这是一个应用程序级别的网关,而不仅仅是一些数据包过滤规则,它会在尝试将连接转发到原始目标系统之前首先接受 TCP 连接。因此,即使最终目标不侦听端口 5060,您的系统和防火墙也会进行完整的 TCP 握手。

我的意思是,如果我尝试按 Enter 键或任何其他键,会话就会立即关闭。

这可能是因为您没有发送正确的 SIP 请求。

其它你可能感兴趣的问题
上一篇网络端口号;为什么 16 位有 65535,而不是 65536? 下一篇MAC地址计数误解