Wireshark TS | 永不关闭连接的 FIN

已于 2024-03-23 18:10:09 修改
阅读量579 收藏
点赞数
分类专栏: NetShark 文章标签: wireshark tcp/ip tcpdump 网络 网络协议
于 2021-10-17 17:24:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47627078/article/details/120812471
版权

问题背景

用户反馈客户端应用程序无法收到 HTTP 响应的最后一个数据包,导致超时错误。从数据包捕获来看,服务器已成功发送所有数据,也发送了 FIN/ACK ,但是客户端接收并确认数据,但从不发送 FIN/ACK 或 RST 结束连接。

比较奇怪的现象,什么情况会导致客户端不响应 FIN ?


案例取自 Wireshark 官方问答论坛


问题分析

该用户对此问题估计也是做了一定功课,直接放上了三个数据包供分析,包括客户端故障时的抓包、客户端成功时的抓包以及服务器端故障时的抓包,🤣 妥妥 IT 人士。对于这种情况,如果数据包不是太复杂的话,对比法可能就能得到结果了。


客户端故障时的抓包
FIN-01
直接转到用户所说的结束连接阶段,服务器 10.22.193.39 在帧 67 发送了 FIN/ACK(携带有PSH),Seq 61321 + Len 403 + FIN 1 = NextSeq 61725,但是客户端 10.196.131.236 在帧 68 仅仅 ACK 确认了 61724 之前的数据(长度 403),很明显忽略了服务器的 FIN 。因为在随后的帧 69 中,客户端 10.196.131.236 一没有数据发送,二不发出 FIN/ACK,仅仅只是发送了一个窗口更新的 ACK ,进一步证明了客户端无视了服务器的 FIN。此后服务器进入了 FIN 包的重传阶段,客户端因为继续无视 FIN,不断的产生 TCP Dup ACK 错误。最终服务器在尝试重传 5 次后,直接 RST 了此连接。


服务器故障时的抓包
FIN-02
服务器端的抓包结果分析下来,完全匹配客户端侧结果以及分析。对应帧 24 、35 、36 ,以及之后重传、RST 连接等等。


客户端正常时的抓包
FIN-03
对比分析正常时的抓包,一眼看过去确实干净很多。服务器端 192.168.116.160 在帧 64 发送了同样的 FIN/ACK,Seq 61321 + Len 402 + FIN 1 = NextSeq 61724,客户端 172.19.206.213 在帧69 时ACK 确认了 61724 之前的数据,包含了对 FIN 1字节的确认。客户端同样发送了一个窗口更新的 ACK,之后通过 RST 直接关闭了连接。

服务器和客户端 IP 的不同,是由于用户对数据包做了随机匿名化处理。


问题总结

综合上述分析,结论比较明确定位是客户端的问题,因为客户端忽略或无视了服务器端的 FIN,导致了最后 RST 连接。📖 Wireshark 可以检测到很多网络问题,但是它很可能不能告诉你是什么导致了这些问题。而最终的原因也由该用户回复得知,客户端的防病毒程序 Trend Micro Officescan 的 Web 信誉是问题的原因。

在某些故障场景中,来自于安全应用软件的问题还是或多或少存在的,数据包显现的异常行为,可以通过排除法,尝试关闭安全应用软件再观察现象。

参考

https://osqa-ask.wireshark.org/questions/55683/client-doesnt-respond-to-fin-ack/


感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。​
7ACE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
extract-tls-secrets:使用Wireshark快速解密HTTPSTLS连接
05-07
提取tls秘密 即时解密HTTPS / TLS连接。 从安全的TLS连接中提取共享机密,以与一起使用。 在连接的任一端连接到Java进程以开始解密。 用法 从。 然后通过以下两种方式之一将其附加到Java进程: 启动时附加 将启动参数添加到JVM选项: -javaagent:<path>/extract-tls-secrets-4.0.0.jar=<path> 例如,要从jar文件启动应用程序,请运行: java -javaagent: ~ /Downloads/extract-tls-secrets-4.0.0.jar=/tmp/secrets.log -jar MyApp.jar 要在Tomcat中启动,请将参数添加到CATALINA_OPTS : CATALINA_OPTS=-javaagent: ~ /Downloads
wireshark免安装版本
11-23
wireshark免安装版本
Wireshark分析TCP连接断开过程分析与总结.docx
05-24
Wireshark分析TCP
wireshark-dll
12-12
解决Wireshark安装后不能打开的问题,可将dll文件拷到wireshark安装目录,注意dll与exe在同一个目录哦
跨平台应用开发进阶(四十三)一文走近网络层抓包工具:WhireShark
IT全栈 华强工作室
11-16 2114
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark抓包信息。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容或者发送封包。wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS。所以wireshark看不懂HTTPS中的内容。如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP、UDP 就用wireshark
Wireshark抓包:详解TCP四次挥手报文内容
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
03-30 2万+
一、详解tcp四次挥手 刚才用图解释了tcp四次挥手的过程。用wireshark抓一个包,进行详细的分析。 1.客户端发的第一个释放连接的请求 这是抓的包,然后过滤出来的,看下最后的阶段,是要开始释放一个链接了。这里是第一个fin,ack包: 不是说只有fin吗?为啥这里是fin,ack包? 双击点看看下: tcp报文是一个可靠的协议,它的每一个数据包都要进行确认,每发一个数据包都有一个ack包。表示每发一个包,都要去确认一下的。 所以第一个fin,ack包,ack被标记了,其实也是对上一个报文数据的
wireshark分析四次挥手
qq_40298645的博客
06-09 1766
服务端收到FIN包后, 此时有可能服务端还在与其他客户端进行交互,但会先发送ACK包。确认字符ack=X+1,此时会发送一个新的序列号seq=Z给服务端。TCP服务端通知高层的应用进程,客户端向服务端的方向就释放了,此时处于半连接状态。接着再发送一个ACK包给服务端,此时服务端进入CLOSED状态,完成四次挥手。客户端发送FIN+ACK包给服务端,用来关闭客户端到服务器的数据传送。服务端关闭与其他客户端交互后,服务端会再发送一个FIN包。①第一次挥手:(FIN+ACK)③第三次挥手:(FIN+ACK)
TCP三次握手、四次挥手详解(Wireshark实践)
Hardworking666的博客
09-10 7763
TCP协议规定,只有ACK=1时有效,也规定连接建立后所有发送的报文的ACK必须为1。当SYN=1而ACK=0时,表明这是一个连接请求报文。2、然后Server 进行回复确认,即 SYN=1 ,声明自己的序号是 seq=y, 并设置为ack=x+1,服务器端:SYN-RECEIVED:在收到和发送一个连接请求后等待对方对连接请求的确认。当 FIN = 1 时,表明此报文段的发送方的数据已经发送完毕,并要求释放连接。客户端:SYN-SENT:在发送连接请求后等待匹配的连接请求。) 在连接建立时用来同步序号。
WiresharkTCP的状态 (SYN, FIN, ACK, PSH, RST, URG)
墨痕诉清风的博客
11-13 5375
其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应,如果只是单个的一个SYN,它表示的只是建立连接。位码即tcp标志位,有6种标示:SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)Sequence number(顺序号码) Acknowledge number(确认号码)
TCP的几个状态
weixin_34288121的博客
03-05 258
2019独角兽企业重金招聘Python工程师标准>>> ...
Wireshark 解密TLS
02-08
Wireshark 解密TLS Wireshark 是一个功能强大且广泛使用的网络协议分析工具,它可以捕获和分析各种网络协议的数据包,包括 TLS 协议。TLS(Transport Layer Security)是一种安全协议,用于保护网络通信的安全性。...
Wireshark解密TLS
02-08
Wireshark解密TLS报文详解 Wireshark是一款功能强大且广泛应用的网络协议分析工具,能够对网络协议进行抓包、分析和解密。其中,Wireshark解密TLS报文是一个非常重要的功能,能够帮助网络管理员和开发者们更好地...
wireshark进行手机抓包,有详细步骤
07-05
现在,手机已经连接到电脑上,我们可以使用Wireshark进行手机抓包。具体步骤如下: 1. 打开Wireshark,选择"Capture"选项,点击" Options"按钮。 2. 在" Capture Options"窗口中,选择与手机热点相连的网卡,通常是...
wireshark分析Socket断开
XXOOYC的专栏
10-19 2194
socket断开时,断开方发送的时[Fin,ACK]包,而不是Fin. 按照参考资料说的时发送Fin包,难道有错? http://blog.csdn.net/fw0124/article/details/7452695 应该是参考书讲的不时很清楚,协议如下: https://www.ietf.org/rfc/rfc793.txt Fin包的ACK都会置为1.
wireshark解析TCP的几种状态 (SYN, FIN, ACK, PSH, RST, URG)
热门推荐
ProYuan的博客
08-15 4万+
在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG. 其中,对于我们日常的分析有用的就是前面的五个字段。 它们的含义是: SYN表示建立连接FIN表示关闭连接, ACK表示响应, PSH表示有 DATA数据传输, RST表示连接重置。 其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连...
使用WireShark查看TCP连接和断开过程
yuanjize1996的博客
10-24 9649
TCP连接三次握手过程 机器A向机器B发送建立连接请求的过程: A向B发送: SYN=1 Seq=随机生成的数字i。A进入SYN_SENT状态。 B收到A发送的消息:从SYN=1知道A想要和B发送请求。于是B向A发送:SYN=1,ACK number= i+1 ,ACK=1,seq=随机生成的数字j。B进入SYN_RECV状态。 A收到B发送的应答消息,发现SYN=1 ACK=1,则A向B发送A...
使用wireshark抓包并分析TCP四次挥手
PPPPPPPKD的博客
05-17 6855
一、四次挥手 ①第一次挥手:(FIN+ACK) 客户端发送FIN+ACK包给服务端,用来关闭客户端到服务器的数据传送。此时客户端进入FIN_WAIT_1状态。 ②第二次挥手:(ACK) 服务端收到FIN包后, 此时有可能服务端还在与其他客户端进行交互,但会先发送ACK包。确认字符ack=X+1,此时会发送一个新的序列号seq=Z给服务端。服务端就进入了CLOSE_WAIT(关闭等待)状态。TCP服务端通知高层的应用进程,客户端向服务端的方向就释放了,此时处于半连接状态。 ③第三次挥手:(FIN+ACK)
WireShark 常用协议分析
辉小鱼的博客
11-05 2485
Wireshark(前称Ethereal)是一个网络封包分析软件。 网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
网络数据包抓取与分析工具wireshark的安及使用
最新发布
qq_39241682的博客
06-11 1368
WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息,常用于开发测试过程中各种问题定位。
wireshark PSH SYN FIN
09-23
wireshark是一种网络封包分析工具,用于捕获和分析网络数据包。...综上所述,wireshark中的PSH表示有数据传输,SYN表示建立连接FIN表示关闭连接。通过观察这些标志位,可以推断出TCP连接的状态和数据传输情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值