#第一个包不是SYN包?用科来数据包分析软件排除一次故障。
某金融机构防火墙安全运维人员巡检发现,在互联网区域防火墙不断报送First packet isn’t SYN的日志(见图1),几乎时时刻刻有,影响了防火墙日志存储,但是无业务影响,运维人员觉得比较奇怪,为分析清楚问题,求助于网络抓包人员进行分析。网络抓包人员利用科来数据包分析软件进行分析。
图1 异常现象
分析过程
根据日志字面意思,第一个包不是SYN包,我们都知道,TCP三次握手,建立会话过程中,首先建立三次握手(见图2),三次握手第一个包就是SYN包,那这里第一个包不是SYN包,那是什么包呢,抓包人员决定通过部署科来回溯分析系统进行分析。
图2 三次握手
如图3所示拓扑结构,在防火墙发现有该异常日志,抓包人员决定首先在服务器接入交换机处进行抓包。
图3 网络拓扑
通过在服务器端抓包分析(图4),定位到防火墙发送First packet isn’t SYN日志时间点对比&#x