1
TCP: RST nach FIN, normal oder nicht?
Hiho,
Schaut euch mal folgenden Verbindungsabbau an:
18:09:11.004370 IP 1.1.1.1.443 > 2.2.2.2.29266: F 4332:4332(0) ack 17588 win 330
18:09:11.005939 IP 2.2.2.2.29266 > 1.1.1.1.443: P ack 4263 win 4011
18:09:11.006743 IP 2.2.2.2.29266 > 1.1.1.1.443: P ack 4333 win 4093
18:09:11.006840 IP 2.2.2.2.29266 > 1.1.1.1.443: P 17588:17657(69) ack 4333 win 4093
18:09:11.006849 IP 1.1.1.1.443 > 2.2.2.2.29266: R 290324779:290324779(0) win 0
18:09:11.006855 IP 2.2.2.2.29266 > 1.1.1.1.443: FP 17657:17657(0) ack 4333 win 4093
18:09:11.006858 IP 1.1.1.1.443 > 2.2.2.2.29266: R 290324779:290324779(0) win 0
Das markierte Paket fliegt im Log mit "access denied" raus.
Die Firewall scheint das als neue Verbindung zu sehen, die aber in die Richtung in der Tat nicht erlaubt ist (nur 2.2.2.2 darf mit 1.1.1.1 reden).
1.1.1.1 hat allerdings vorher auch ein FIN gesendet, von daher sollte eigentlich nichts mehr kommen. Auch kein RST?
Trotzdem: das Problem ist, dass solche Pakete den Zähler der Intrusion Detection der Firewall erhöhen, und irgendwann schaltet diese auf stur bzw. ab.
Wo ist nun das Problem? Die Applikation? Das OS? Die Firewall? (Ist eine Cisco ASA)
Bye,
Marki
Schaut euch mal folgenden Verbindungsabbau an:
18:09:11.004370 IP 1.1.1.1.443 > 2.2.2.2.29266: F 4332:4332(0) ack 17588 win 330
18:09:11.005939 IP 2.2.2.2.29266 > 1.1.1.1.443: P ack 4263 win 4011
18:09:11.006743 IP 2.2.2.2.29266 > 1.1.1.1.443: P ack 4333 win 4093
18:09:11.006840 IP 2.2.2.2.29266 > 1.1.1.1.443: P 17588:17657(69) ack 4333 win 4093
18:09:11.006849 IP 1.1.1.1.443 > 2.2.2.2.29266: R 290324779:290324779(0) win 0
18:09:11.006855 IP 2.2.2.2.29266 > 1.1.1.1.443: FP 17657:17657(0) ack 4333 win 4093
18:09:11.006858 IP 1.1.1.1.443 > 2.2.2.2.29266: R 290324779:290324779(0) win 0
Das markierte Paket fliegt im Log mit "access denied" raus.
Die Firewall scheint das als neue Verbindung zu sehen, die aber in die Richtung in der Tat nicht erlaubt ist (nur 2.2.2.2 darf mit 1.1.1.1 reden).
1.1.1.1 hat allerdings vorher auch ein FIN gesendet, von daher sollte eigentlich nichts mehr kommen. Auch kein RST?
Trotzdem: das Problem ist, dass solche Pakete den Zähler der Intrusion Detection der Firewall erhöhen, und irgendwann schaltet diese auf stur bzw. ab.
Wo ist nun das Problem? Die Applikation? Das OS? Die Firewall? (Ist eine Cisco ASA)
Bye,
Marki
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 357425
Url: https://administrator.de/contentid/357425
Printed on: April 19, 2024 at 11:04 o'clock
1 Comment
RST ist nicht normal.
Nach FIN kommt FIN ACK vom Partner und dann sendet der Partner auch ein FIN.
Das wäre Standard konform:
http://www.tcpipguide.com/free/t_TCPConnectionTermination-2.htm
Nach FIN kommt FIN ACK vom Partner und dann sendet der Partner auch ein FIN.
Das wäre Standard konform:
http://www.tcpipguide.com/free/t_TCPConnectionTermination-2.htm
