Mensagem de log de segurança do FreeBSD: “Dados recebidos após o fechamento do soquete”

2

Estou executando o FreeBSD 7 e recebo isso em / var / log / security:

+++ /tmp/security.AIKARuA1  2009-06-30 03:05:17.000000000 +0500
+TCP: [69.147.83.36]:80 to [115.186.130.56]:50488 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.36]:80 to [115.186.130.56]:55740 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.33]:80 to [115.186.130.56]:52461 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.36]:80 to [115.186.130.56]:57401 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb

O que eu posso inferir daqui, o que é óbvio, é que o cliente enviou alguns dados enquanto a conexão deveria estar fechada.
Poderia ser este um caso em que eu iniciei uma sessão ssh, tive um Man-in-the-middle em algum lugar sem que eu soubesse, e depois que fechei a sessão SSH ele tentou se conectar novamente?

    
por Shoaibi 30.06.2009 / 08:52

2 respostas

3

Isso pode acontecer nos casos em que um lado não fecha um RST, e se houver dados de latência suficientes por um tempo depois, ou mesmo devido a filas após o fechamento de ambos os lados.

Em suma, o fechamento dos dados após é bastante inofensivo, já que a sessão tinha que estar em primeiro lugar para causar isso, então não se preocupe.

    
por 30.06.2009 / 09:51
0

Veja o endereço de origem: [69.147.83.36]: 80 . Observe a porta 80 - é um tráfego HTTP. Alguém se conecta ao seu servidor da Web, escreve solicitações, obtém dados. Em seguida, o servidor encerra a conexão, mas seu cliente não entende isso e continua enviando solicitações.

Não é um problema de segurança. É possivelmente uma configuração incorreta do servidor ou bug no cliente.

    
por 30.06.2009 / 09:58