1
TCP: RST nach FIN, normal oder nicht?
Hiho,
Schaut euch mal folgenden Verbindungsabbau an:
18:09:11.004370 IP 1.1.1.1.443 > 2.2.2.2.29266: F 4332:4332(0) ack 17588 win 330
18:09:11.005939 IP 2.2.2.2.29266 > 1.1.1.1.443: P ack 4263 win 4011
18:09:11.006743 IP 2.2.2.2.29266 > 1.1.1.1.443: P ack 4333 win 4093
18:09:11.006840 IP 2.2.2.2.29266 > 1.1.1.1.443: P 17588:17657(69) ack 4333 win 4093
18:09:11.006849 IP 1.1.1.1.443 > 2.2.2.2.29266: R 290324779:290324779(0) win 0
18:09:11.006855 IP 2.2.2.2.29266 > 1.1.1.1.443: FP 17657:17657(0) ack 4333 win 4093
18:09:11.006858 IP 1.1.1.1.443 > 2.2.2.2.29266: R 290324779:290324779(0) win 0
Das markierte Paket fliegt im Log mit "access denied" raus.
Die Firewall scheint das als neue Verbindung zu sehen, die aber in die Richtung in der Tat nicht erlaubt ist (nur 2.2.2.2 darf mit 1.1.1.1 reden).
1.1.1.1 hat allerdings vorher auch ein FIN gesendet, von daher sollte eigentlich nichts mehr kommen. Auch kein RST?
Trotzdem: das Problem ist, dass solche Pakete den Zähler der Intrusion Detection der Firewall erhöhen, und irgendwann schaltet diese auf stur bzw. ab.
Wo ist nun das Problem? Die Applikation? Das OS? Die Firewall? (Ist eine Cisco ASA)
Bye,
Marki
Schaut euch mal folgenden Verbindungsabbau an:
18:09:11.004370 IP 1.1.1.1.443 > 2.2.2.2.29266: F 4332:4332(0) ack 17588 win 330
18:09:11.005939 IP 2.2.2.2.29266 > 1.1.1.1.443: P ack 4263 win 4011
18:09:11.006743 IP 2.2.2.2.29266 > 1.1.1.1.443: P ack 4333 win 4093
18:09:11.006840 IP 2.2.2.2.29266 > 1.1.1.1.443: P 17588:17657(69) ack 4333 win 4093
18:09:11.006849 IP 1.1.1.1.443 > 2.2.2.2.29266: R 290324779:290324779(0) win 0
18:09:11.006855 IP 2.2.2.2.29266 > 1.1.1.1.443: FP 17657:17657(0) ack 4333 win 4093
18:09:11.006858 IP 1.1.1.1.443 > 2.2.2.2.29266: R 290324779:290324779(0) win 0
Das markierte Paket fliegt im Log mit "access denied" raus.
Die Firewall scheint das als neue Verbindung zu sehen, die aber in die Richtung in der Tat nicht erlaubt ist (nur 2.2.2.2 darf mit 1.1.1.1 reden).
1.1.1.1 hat allerdings vorher auch ein FIN gesendet, von daher sollte eigentlich nichts mehr kommen. Auch kein RST?
Trotzdem: das Problem ist, dass solche Pakete den Zähler der Intrusion Detection der Firewall erhöhen, und irgendwann schaltet diese auf stur bzw. ab.
Wo ist nun das Problem? Die Applikation? Das OS? Die Firewall? (Ist eine Cisco ASA)
Bye,
Marki
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357425
Url: https://administrator.de/contentid/357425
Ausgedruckt am: 23.11.2024 um 03:11 Uhr
1 Kommentar
RST ist nicht normal.
Nach FIN kommt FIN ACK vom Partner und dann sendet der Partner auch ein FIN.
Das wäre Standard konform:
http://www.tcpipguide.com/free/t_TCPConnectionTermination-2.htm
Nach FIN kommt FIN ACK vom Partner und dann sendet der Partner auch ein FIN.
Das wäre Standard konform:
http://www.tcpipguide.com/free/t_TCPConnectionTermination-2.htm
