Recentemente, tentei localizar um problema em um de nossos sistemas e notei que ele simplesmente não pode se conectar a uma máquina remota.
No entanto, a máquina remota (não controlada por nós) está respondendo à nossa solicitação de conexão com muitos pacotes RST TCP em uma porta diferente (26469, 26497, 26498) daquela que originamos em (53).
Ele simplesmente não desistiu em um ponto e nos inundou com cerca de 10 pacotes / segundo por uma hora ou duas de apenas RST nessas portas altas e obscuras.
Dos milhares de nós aos quais estamos nos conectando, este é o único que já mostrou esse comportamento. O que poderia causar isso?
EDITAR
Abaixo está uma imagem do Wireshark quando aconteceu. Eu não tenho mais o despejo real e não posso reproduzir esse cenário específico todas as vezes. Basicamente, nós enviamos um SYN e imediatamente obtivemos RST em uma porta ímpar e então respondemos com RST e continuamos indo e voltando.
O que eu vejo aqui é que 192.168.0.10 está tentando abrir conexões HTTP para 139.179.55.181 e essas conexões estão sendo recusadas.
Os números de porta altos que você está vendo se originam como os números de porta source para as conexões de 192.168.0.10 . Os segmentos RST estão sendo enviados de volta para os mesmos números de porta dos quais os segmentos SYN vieram. É assim que o TCP deve funcionar.
Tags firewall tcp packet-capture