arquivo de rastreamento Wireshark RST após pacote FIN

3

Eu tenho um cliente e um servidor de aplicativos, que trocam certificados entre si e estabelecem uma conexão TLS segura.

No final dessa conexão, após os dados do aplicativo serem transferidos. O cliente envia um pacote FIN para o servidor, em troca, o servidor responde com um pacote de alerta criptografado TLSV1.2.

Isso é mais um ack do cliente e o cliente envia um pacote RST. Você poderia me ajudar a decifrar esse comportamento? Eu estou tentando basear meu tráfego entre esses endpoints e depois tomar essas notas como entrada.

A partir deste link, link , parece que o soquete não é desligado antes de ser fechado, o que resume-se a má programação. Estou curioso para confirmar se este é o caso.

    
por Teja 06.08.2018 / 14:26

1 resposta

3

De acordo com o O TCP Guide nas finalizações, a ordem usual dos eventos é:

  1. --- > FIN
  2. < --- ACK
  3. < --- Espera que o aplicativo com o soquete ACK ative o fechamento da conexão
  4. < --- FIN
  5. --- > ACK

Os passos 2 e 3 são frequentemente feitos ao mesmo tempo, para um pacote FIN / ACK. Uma dança agradável e majestosa.

No entanto, o TCP tem outra maneira de derrubar uma conexão e é mais rápido do que esse procedimento imponente. Lança um pacote RST . É uma maneira grosseira de fazê-lo, mas o HTTP pode se dar bem com isso, já que a transferência de dados tem dois fluxos e, se o segundo fluxo estiver concluído (a resposta do servidor), tudo estará concluído. Para conexões HTTP que são notoriamente lentas (ou seja, têm um humano tocando os pés frequentemente esperando uma página renderizar enquanto o navegador lida com mais de 50 solicitações de ativos), pequenos ajustes de velocidade são como tudo é feito a tempo.

Nesse caso, o host 185 está tentando ser legal, mas o host 172 é todo que terminei, vá embora .

Como administrador de segurança de rede, a prevalência de pacotes RST em fluxos como esses se destaca como anomalias de rede. Esta é uma área onde os protocolos estão sendo abusados em nome da otimização. É um fluxo esperado para o tráfego HTTP nos dias de hoje.

    
por 06.08.2018 / 15:42

Tags