Почему при получении SYN / ACK пакет RST отправляется с определенных сайтов - PullRequest
Новая
       13

Почему при получении SYN / ACK пакет RST отправляется с определенных сайтов

1 голос
/ 23 июля 2011

Я использую ArchLinux и недавно столкнулся с этой странной проблемой.Через некоторое время подключение к Google истечет, потому что моя система продолжает отправлять пакет RST при получении пакета SYN / ACK с сервера.То же самое с другими IP-адресами и номерами портов Google.Это также случается с yahoo.com.

Этого раньше никогда не было.Я думаю, что с моей системой может быть что-то не так, но я не помню, чтобы я недавно изменил конфигурацию системы.

[ОБНОВЛЕНИЕ]

Это произошло снова, и я получил следующее tcpdump вывод, предложенный skjaidev: 

$ sudo tcpdump -i eth0 "ip host 209.85.153.100"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:44:15.737180 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [S], seq 1037252805, win 14600, options [mss 1460,sackOK,TS val 33830667 ecr 0,nop,wscale 6], length 0
13:44:15.905741 IP encrypted.google.com.https > 10.20.1.113.53894: Flags [S.], seq 371070936, ack 1037252806, win 5672, options [mss 1430,sackOK,TS val 266521270 ecr 33818028,nop,wscale 6], length 0
13:44:15.905761 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [R], seq 1037252806, win 0, length 0
13:44:16.209090 IP encrypted.google.com.https > 10.20.1.113.53894: Flags [S.], seq 371070936, ack 1037252806, win 5672, options [mss 1430,sackOK,TS val 266521573 ecr 33818028,nop,wscale 6], length 0
13:44:16.209111 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [R], seq 1037252806, win 0, length 0
13:44:18.738936 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [S], seq 1037252805, win 14600, options [mss 1460,sackOK,TS val 33831568 ecr 0,nop,wscale 6], length 0
13:44:18.896373 IP encrypted.google.com.https > 10.20.1.113.53894: Flags [S.], seq 417800121, ack 1037252806, win 5672, options [mss 1430,sackOK,TS val 266524260 ecr 33818028,nop,wscale 6], length 0
13:44:18.896391 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [R], seq 1037252806, win 0, length 0
13:44:24.752266 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [S], seq 1037252805, win 14600, options [mss 1460,sackOK,TS val 33833372 ecr 0,nop,wscale 6], length 0
13:44:25.102758 IP encrypted.google.com.https > 10.20.1.113.53894: Flags [S.], seq 514770952, ack 1037252806, win 5672, options [mss 1430,sackOK,TS val 266530467 ecr 33818028,nop,wscale 6], length 0
13:44:25.102777 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [R], seq 1037252806, win 0, length 0
13:44:36.765603 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [S], seq 1037252805, win 14600, options [mss 1460,sackOK,TS val 33836976 ecr 0,nop,wscale 6], length 0
13:45:28.236165 IP 10.20.1.113.53890 > encrypted.google.com.https: Flags [P.], seq 31651351:31651378, ack 2535469155, win 279, options [nop,nop,TS val 33852417 ecr 299514426], length 27
13:45:28.236184 IP 10.20.1.113.53890 > encrypted.google.com.https: Flags [F.], seq 27, ack 1, win 279, options [nop,nop,TS val 33852417 ecr 299514426], length 0
13:45:28.426021 IP encrypted.google.com.https > 10.20.1.113.53890: Flags [F.], seq 1, ack 27, win 194, options [nop,nop,TS val 299629642 ecr 33852417], length 0
13:45:28.426044 IP 10.20.1.113.53890 > encrypted.google.com.https: Flags [.], ack 2, win 279, options [nop,nop,TS val 33852474 ecr 299629642], length 0
13:45:28.426983 IP encrypted.google.com.https > 10.20.1.113.53890: Flags [.], ack 28, win 194, options [nop,nop,TS val 299629644 ecr 33852417], length 0

Ответы [ 3 ]

2 голосов
/ 31 января 2013

Я наконец-то нашел решение для этого - отключение меток времени TCP (sysctl net.ipv4.tcp_timestamps=0) решает проблему для меня. Временные метки для этих пакетов как-то неверны.

1 голос
/ 01 августа 2011

Обратите внимание, как порты источника, порядковый номер и т. Д. Одинаковы в этих двух пакетах?

13:44:16.209111 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [R], seq 1037252806, win 0, length 0
13:44:18.738936 IP 10.20.1.113.53894 > encrypted.google.com.https: Flags [S], seq 1037252805, win 14600, options [mss 1460,sackOK,TS val 33831568 ecr 0,nop,wscale 6], length 0

Вы не можете использовать исходные порты так быстро.С вашей машиной что-то происходит.Похоже, ваш стек TCP не видит никаких пакетов с сервера, что-то еще генерирует RST.Либо у вас есть правила iptable, либо могут быть ошибки контрольной суммы, полный захват пакета (используйте -s 0 -w foo.pcap и проанализируйте трассировку в wireshark) должен показать вам любые ошибки контрольной суммы.

0 голосов
/ 25 апреля 2013

Ваши часы, скорее всего, дрейфуют.Настройте NTPD, чтобы быть более агрессивным в обновлении системного времени, чтобы вы всегда были более точными.Особенно, если ваша система часто входит в спящий режим.Часы всегда будут отваливаться.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...