TCP DUMP 4 行 我不明白,请帮忙?

网络工程 通讯协议 转储
2021-07-30 19:32:26

我需要支持理解这 4 行。看起来像 tcp dump 但我实际上不明白这里到底发生了什么。

13:13:22.407445 IP 192.168.246.128.54955 > 192.168.246.13.80: S 2910497703:2910497703(0)
  win 5840 <mss 1460,sackok,timestamp="" 518611="" 0,nop,wscale="" 6="">

13:13:22.407560 IP 192.168.246.13.80 > 192.168.246.128.54955: S 3762608065:3762608065(0)
  ack 2910497704 win 64240 <mss 1460,nop,wscale="" 0,nop,nop,timestamp="" 0="" 0,nop,nop,sackok="">

13:13:22.407963 IP 192.168.246.128.54955 > 192.168.246.13.80: .
  ack 1 win 92 <nop,nop,timestamp 518611="" 0="">

13:13:22.408321 IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0)
  ack 1 win 92 <nop,nop,timestamp 518611="" 0="">
1个回答

您正在查看成功的三向握手(SYN、SYN ACK、ACK)。然后是客户端发送的不正常的连接关闭(R 表示重置)。

IP 192.168.246.128.54955> 192.168.246.13.80:š 2910497703:2910497703(0)赢得5840
IP 192.168.246.13.80> 192.168.246.128.54955:小号3762608065:3762608065(0)的ACK 2910497704赢64240
IP 192.168.246.128 .54955 > 192.168.246.13.80:。ack 1 赢 92
IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0) ack 1 赢 92

(我删除了时间戳,以便您可以在一行中看到所有内容)

当有人扫描您的环境以查找开放端口时,通常会出现这种特殊模式。有人完成了三次握手,注意到Server(192.168.246.13)上的80端口是打开的,然后关闭连接。与仅包括 SYN、SYN ACK、RESET 的传统端口扫描模式相比,这种方法(实际上是完成三向握手)在 IDS/IPS 监控系统上出现的频率较低。

其它你可能感兴趣的问题
上一篇HP 2920-48G Switch 和 Apple Airport Extreme 问题 下一篇Cisco 871 路由器 VLAN 理念