Por que algumas máquinas respondem com muitos pacotes RST em vez de RST-ACK para recusar uma conexão?

2

Recentemente, tentei localizar um problema em um de nossos sistemas e notei que ele simplesmente não pode se conectar a uma máquina remota.

No entanto, a máquina remota (não controlada por nós) está respondendo à nossa solicitação de conexão com muitos pacotes RST TCP em uma porta diferente (26469, 26497, 26498) daquela que originamos em (53).

Ele simplesmente não desistiu em um ponto e nos inundou com cerca de 10 pacotes / segundo por uma hora ou duas de apenas RST nessas portas altas e obscuras.

Dos milhares de nós aos quais estamos nos conectando, este é o único que já mostrou esse comportamento. O que poderia causar isso?

EDITAR

Abaixo está uma imagem do Wireshark quando aconteceu. Eu não tenho mais o despejo real e não posso reproduzir esse cenário específico todas as vezes. Basicamente, nós enviamos um SYN e imediatamente obtivemos RST em uma porta ímpar e então respondemos com RST e continuamos indo e voltando.

    
por Michael J. Gray 04.11.2012 / 15:53

1 resposta

2

O que eu vejo aqui é que 192.168.0.10 está tentando abrir conexões HTTP para 139.179.55.181 e essas conexões estão sendo recusadas.

Os números de porta altos que você está vendo se originam como os números de porta source para as conexões de 192.168.0.10 . Os segmentos RST estão sendo enviados de volta para os mesmos números de porta dos quais os segmentos SYN vieram. É assim que o TCP deve funcionar.

    
por 04.11.2012 / 16:26