第一个包不是SYN包?用科来数据包分析软件排除一次故障。

最新推荐文章于 2022-11-18 22:00:10 发布
最新推荐文章于 2022-11-18 22:00:10 发布
阅读量888 收藏 2
点赞数 1
分类专栏: 网络抓包 文章标签: TCP握手 科来回溯分析系统 抓包分析 SYN包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42433054/article/details/99119441
版权

#第一个包不是SYN包?用科来数据包分析软件排除一次故障。

某金融机构防火墙安全运维人员巡检发现,在互联网区域防火墙不断报送First packet isn’t SYN的日志(见图1),几乎时时刻刻有,影响了防火墙日志存储,但是无业务影响,运维人员觉得比较奇怪,为分析清楚问题,求助于网络抓包人员进行分析。网络抓包人员利用科来数据包分析软件进行分析。
图1 异常现象
图1 异常现象

分析过程

根据日志字面意思,第一个包不是SYN包,我们都知道,TCP三次握手,建立会话过程中,首先建立三次握手(见图2),三次握手第一个包就是SYN包,那这里第一个包不是SYN包,那是什么包呢,抓包人员决定通过部署科来回溯分析系统进行分析。
在这里插入图片描述
图2 三次握手
如图3所示拓扑结构,在防火墙发现有该异常日志,抓包人员决定首先在服务器接入交换机处进行抓包。
在这里插入图片描述
图3 网络拓扑
通过在服务器端抓包分析(图4),定位到防火墙发送First packet isn’t SYN日志时间点对比&#x

最低0.47元/天 解锁文章
sinfoyou
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
没有syn报文收到syn ack 报文怎么处理_TCP与IP的对比,TCP的报文头介绍,TCP的三次握手TCP的安全机制...
weixin_42629522的博客
01-26 847
IP协议是无连接的通讯协议不会占用两个正在通讯的计算机之间的通讯线路,这样IP就降低了对网络线路的需求,每条线可以同时满足许多不同计算机之间的通讯需要.通过IP,消息或者其他数据会被分割为较小的独立的并通过因特网在计算机之间传送IP负责将每个路由到目的地,但是IP协议没用做任何工作去确认数据是否按顺序发送或者是否被破坏,所以IP数据包是不可靠的,因此需要它的上层传输层TCP协议来做控制!TC...
负载均衡会话时间导致故障案例
weixin_42433054的博客
08-11 908
案例分析 本案例介绍了某电商交易系统内部突发故障,网络运维人员利用科来回溯分析系统抓取链路上数据包,完整还原业务交互过程,明确故障原因,解决开发人员和运维人员的困恼。 背景描述: 电商交易系统时刻有业务,某一天发生了交易异常,运行人员协调客户端、服务器开发人员和网络人员进行故障排查,整个拓扑图如下,客户端将交易请求发给负载均衡,负载均衡转发给后台服务器: 客户端开发人...
SYN(用于TCP/IP连接,即建立连接时的第一个
热门推荐
爱学习的JackYang的博客
09-30 1万+
SYN用于建立TCP/IP时的握手连接,由客户端想服务端发送SYN,服务端向客户端发送SYN+ACK响应报文,客户端向服务端发送一个ACK响应报文,然后建立一个完整的连接,即三次握手 SYN攻击属于DDOS(即分布式拒绝服务)的一种通过向目标主机发送大量的半连接请求(即SYN请求)并且伪装源IP和源端口,使目标主机响应繁复的响应情况中(由于源IP为虚假IP,即显示中不存在,在目标主机回应了SYN...
First Flag
y2zaijian的博客
11-09 665
Flag First of all, It's my pleasure to be here to introduce myself, just a brief self introduction, My name is YANG YING, and you can also call me my English name Angela.I come from Shaanxi province,f...
从零开始学习网络数据包分析科来抓包的入门教程
weixin_43263566的博客
11-18 3617
简单的抓包
Wireshark协议分析tcp之三次挥手和四次挥手数据包.zip
03-13
数据包含一个随机的序列号A,表明客户端期望接收到的第一个数据包的序列号。 2. **SYN+ACK(同步+确认)**:服务器接收到SYN后,回应一个SYN+ACK,也含一个随机的序列号B,并且确认序列号为A+1,表示服务器...
10.3.3 上游问题 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
第一个数据包是来自 172.16.0.8 主机的 DNS 查询,请求 Google 的 A 记录,即 IP 地址。响应中提供了多个 A 记录,表明 DNS 服务器正常工作。 接下来,用户的计算机尝试使用从 DNS 响应中得到的 IP 地址与 Web ...
信息安全技术基础:Wireshark工具的使用与TCP数据包分析.doc
11-01
Wireshark是一个强大的网络封分析工具,广泛用于网络安全领域,尤其在进行数据包捕获和分析时。它以前被称为Ethereal,由于其开源性质(遵循GNUGPL通用许可证),用户可以免费获取并自由地查看和修改源代码。这款...
sniffer的配置和使用[收集].pdf
10-20
配置Sniffer的第一步是在抓包过滤器窗口中设定Address选项卡。在这里,你需要选择IP作为抓包类型,并在Station1中输入主机的IP地址,Station2中输入虚拟机的IP地址。接着,进入Advanced选项卡,勾选IP和ICMP,确保...
美团校园招聘历年经典面试题汇总:运维研发岗1
08-03
2. **统计IP地址**:在Linux中,可以使用`awk`、`uniq`和`sort`命令组合来统计文件中第一列的IP地址。首先使用`awk`提取第一列,然后通过`sort`排序,最后用`uniq`去重,得到不重复的IP地址列表。 3. **查看网络...
TCP三次握手和四次挥手
一个在全能之路上越走越远的男人。
04-17 207
盗来一张图: 以客户端主动发起请求为例,来看三次握手是怎么形成的: 1.第一次握手: 客户端主动发起请求,向服务器发送SYN =1 ,seq = x;这两个代表啥意思呢?SYN 是一个标识符,表示请求建立新连接。等于1的时候有效,一般都是等于1。因为要发起连接啊。seq = x;代表发送的数据(可以理解为一段测试信息),x代表的就是个假设的值 x。 2. 第二次握手:服务端收到请求,SY...
数据包分析
06-14 144
TTL(Time To Live): 存活时间,定义了在该数据包被丢弃之前,所能经历的时间,或者能够经过的最大路由数目。ttl在数据包创建时就会被定义,而且通常在每次被发往一个路由器的时候减1。 TCP三次握手建立连接:...
checkpoint防火墙SmartDashboard登录出错
weixin_33843947的博客
01-28 387
SmartDashboard登录是报错:fingerprint不匹配 原因:主备机切换导致 解决:选择凌晨不影响业务的时间拔掉原备机的电源线。 转载于:https://www.cnblogs.com/xinghen1216/p/10299312.html...
无法访问网站故障案例分析报告 科来
weixin_34302798的博客
12-26 337
某单位部分网段无法访问网站故障案例分析报告故障描述故障环境某单位客户端要访问服务器端,会先经过核心交换机,然后由核心交换机传到多业务交换机,多业务交换机与防火墙相连,经过防火墙后再经过加速器和加密机传,通过专网传到服务器。并且在传输的过程中,防火墙是处于透明模式的。具体网络拓扑如下所示: 故障现象 客户端是一个X.X.8.0/23网段的地址,无法访...
科来网络分析系统数据包分析
要啥啥不行,偷懒第一名
10-26 4382
预备知识 1、科来网络分析系统是一款由科来软件全自主研发,并拥有全部知识产品的网络分析产品。该系统具有行业领先的专家分析技术,通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题。 故障诊断:自动诊断40多种网络故障,自动定位故障点,自动分析故障产生的原因并推荐解决方法; 流量分析:多达42种的流量分析数据,能对整个网络、单个部门、单个VLAN、单个IP和单个MAC进行统计分析; 安全分析:查找网络中存在的安全风险;
用go语言写一个抓包程序,在抓到数据包之后分析是否为tcp syn报文,如果是,则向源地址发送一个tcp reset报文
最新发布
04-01
抓包程序的代码如下: ``` package main import ( "fmt" "log" "net" "github.com/google/gopacket" "github.com/google/gopacket/pcap" "github.com/google/gopacket/layers" ) func main() { // 打开网卡 handle, err := pcap.OpenLive("eth0", 65535, true, pcap.BlockForever) if err != nil { log.Fatal(err) } defer handle.Close() // 设置过滤器 filter := "tcp[tcpflags] & (tcp-syn) != 0" err = handle.SetBPFFilter(filter) if err != nil { log.Fatal(err) } // 抓包 packetSource := gopacket.NewPacketSource(handle, handle.LinkType()) for packet := range packetSource.Packets() { // 解析TCP报文 tcpLayer := packet.Layer(layers.LayerTypeTCP) if tcpLayer != nil { tcp, _ := tcpLayer.(*layers.TCP) // 判断是否是SYN报文 if tcp.SYN { // 向源地址发送RST报文 ipLayer := packet.Layer(layers.LayerTypeIPv4) if ipLayer != nil { ip, _ := ipLayer.(*layers.IPv4) srcAddr := net.IP(ip.SrcIP) dstAddr := net.IP(ip.DstIP) // 构造TCPtcpHeader := layers.TCP{ SrcPort: tcp.DstPort, DstPort: tcp.SrcPort, Seq: tcp.Ack, RST: true, Window: tcp.Window, } tcpHeader.SetNetworkLayerForChecksum(ip) // 构造IP头 ipHeader := layers.IPv4{ Version: 4, SrcIP: ip.DstIP, DstIP: ip.SrcIP, Protocol: layers.IPProtocolTCP, TTL: 64, Id: ip.Id, Flags: ip.Flags, } // 发送RST报文 packetData := gopacket.NewSerializeBuffer() gopacket.SerializeLayers(packetData, gopacket.SerializeOptions{}, &ipHeader, &tcpHeader) packetBytes := packetData.Bytes() conn, err := net.DialIP("ip4:tcp", &net.IPAddr{IP: srcAddr}, &net.IPAddr{IP: dstAddr}) if err != nil { fmt.Println(err) } else { defer conn.Close() _, err := conn.Write(packetBytes) if err != nil { fmt.Println(err) } fmt.Printf("Sent RST to %s\n", srcAddr.String()) } } } } } } ``` 程序的主要逻辑是: 1. 打开网卡,设置过滤器,抓包; 2. 对每一个TCP报文进行判断,如果是SYN报文,就向源地址发送RST报文。 程序使用了Google的开源库gopacket来处理网络。首先打开网卡,设置过滤器,然后使用NewPacketSource函数生成一个PacketSource对象,用来读取网络PacketSource的Packets方法会返回一个管道,每次从管道中读取一个网络,直到管道关闭。 在处理每个网络时,先判断是否TCP层,如果是,再判断是否是SYN报文。如果是SYN报文,就从IPv4层中获取源地址和目的地址,然后构造RST报文并发送到源地址。构造RST报文时,需要先构造TCP头,再构造IPv4头。最后将TCP头和IPv4头序列化成字节流,并通过net的DialIP函数连接到源地址,并发送RST报文。如果发送成功,就打印一条消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值