Wireshark TS | 服务器在三次握手后发送RST ?

已于 2024-07-20 11:00:55 修改
阅读量3.6k 收藏 6
点赞数 1
分类专栏: NetShark 文章标签: wireshark 网络 网络协议 tcpip tcpdump
于 2021-11-15 19:36:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47627078/article/details/121337705
版权

问题背景

用户提到在大多数时候,服务器响应就像标题所描述的那样出现断连问题,简化的拓扑如下,

客户端 --- 防火墙(NAT/PAT) --- 互联网 --- 防火墙 --- 负载均衡 --- Web 服务器

案例取自 Wireshark 官方问答论坛


问题分析

来自于某一台 Web 服务器上的数据抓包文件,可能的问题会是什么呢?

正常的流
RST-01
比较简短的交互过程,没有任何异常。

问题流
RST-02
确实 ,充斥了 Bad TCP 和 TCP RST 的着色,而且有一些很特殊的问题,简析如下:

  1. 服务器 SYN/ACK 重传

从流中的前 3 个包(帧 70-72)上来看,其实 TCP 三次握手已经完成了,但是服务器仍然在 1.3s 后重传了 SYN/ACK,很奇怪的重传。因为如果像该用户所说,数据包是在服务器上所抓取的话,那么在明显收到客户端第三个 ACK 的情况下,服务器是否仍然认为三次握手没有完成,所以才进一步进行 SYN/ACK 重传。

基于此现象,按以前的经验,个人认为可能需要在服务器上进一步检查此连接具体的状态,是否 ESTABLISHED 等等,但论坛上的专家提到了一个可能引起此现象的问题 TCP_DEFER_ACCEPT

❤️ 感谢专家解锁数据包新世界 ,在此数据包文件的现象中确实匹配这种情况。

TCP_DEFER_ACCEPT (since Linux 2.4)
Allow a listener to be awakened only when data arrives on the socket. Takes an integer value (seconds), this can bound the maximum number of attempts TCP will make to complete the connection. This option should not be used in code intended to be portable.

如果在 Linux 服务器上开启了此选项,服务器会在接收到最后一个 ACK 之后,并不会进入 ESTABLISHED 状态,而是会忽略掉此 ACK ,保持 SYN_RECV 状态不变,然后接下来等待客户端发送数据。而如果客户端数据没有快速跟随时,由于服务器还处于 SYN_RECV 状态,因此就会在超时后进行 SYN/ACK 重传。

正常时的交互,客户端在约 82ms 时发送了 GET 请求,而发生问题时,客户端在约 1.5s 左右才发起 GET 请求,也是造成上述重传的原因。对于客户端的行为也需要同时在负载均衡前后抓包对比分析才能判断,此处缺失。

  1. 服务器 RST

服务器在收到客户端 GET 请求后,直接 RST 了连接。此处需要检查 TCP 中的 Seq Num、Ack Num 等,关闭 TCP 选项 Relative sequence numbers 后,观察到客户端发送的帧 74 ACK 编号 2106390967 明显与帧 72 或 73 所要求的 2962498563 不一样,且远在 ISN 之外。服务器因此丢弃这个数据包,并发送帧75 RST 。
RST-03
但在随后帧 76 至最后,客户端也有比较奇怪的行为,在收到 RST 之后仍然发送 ACK,这能解释的也可能是 RST 的 Seq Num 不在有效范围内,因此忽略。

在最后客户端 GET 请求不断重传无响应后,发送 FIN/ACK 关闭连接。


问题总结

此案例的现象比较奇怪,在缺少足够数据包支撑的情况下,譬如客户端上、负载均衡前后、防火墙前后等,无法得出导致该问题的最终原因。

PS:仅个人猜测,排除服务器 TCP_DEFER_ACCEPT 带来的现象外,有可能是负载均衡的问题,转换错乱了 ACK Num 。


参考

Why is server (CentOS 6) sending RST after TCP three-way handshake?
https://osqa-ask.wireshark.org/questions/57187/why-is-server-centos-6-sending-rst-after-tcp-three-way-handshake/

linux下tcp选项TCP_DEFER_ACCEPT详解
http://www.pagefault.info/2011/08/28/linux-tcp-option-tcpdeferaccept-detailed.html

TCP_DEFER_ACCEPT的行为和不同的实现方式
http://blog.sina.com.cn/s/blog_3fde82520101fmxw.html


感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。
7ACE
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
wireshark、异常数据分析、常见RST介绍
weixin_33716941的博客
04-13 2444
简介 Wireshark(前称Ethereal)是一个网络封包分析软件,可分析网路状态,丢包率等。 由于公司做的即时通讯业务,其中IM模块采用TCP发送数据和控制信令(心跳包)底层采用protobuf传输数据,音视频采用TRP协议,然后给大客户集团提供私有化部署,由于客户网络环境复杂,所以需具备一定的抓包分析能力。 下面介绍常见的TCP层的常用FLAGS。 标志位 描述 SYN ...
一个数据包大小是多少k_Wireshark数据包分析实战:TCP报文段重组
weixin_39779467的博客
12-03 1737
01 引言最近有位热心读者朋友给成哥发来私信,说他现在对IP分片有疑惑。他读过成哥的《Wireshark数据包分析三板斧》和《一文秒懂TCPIP实际五层结构》系列文章,直言对自己帮助很大,可以算是成哥的铁粉了。但是他在工作中遇到的IP分片现象和成哥文章中讲的有出入,想和成哥探讨下具体原因。成哥觉得这种精神非常好,尽信书不如无书,就要有自己的独立思考。希望大家也多思考多给成哥提出意见和建议,十分感谢...
记一次压测问题定位:connection reset by peer,TCP三次握手后服务端发送RST
热门推荐
c359719435的专栏
05-13 2万+
问题描述这两天用Go做一个比较简单的task:后端有HTTPServer和TCPServer。客户端通过http接入到HTTPServer,HTTPServer通过RPC将请求发送到TCPServer,所有的业务逻辑都由TCPServer处理。压测:自己的mac电脑(CPU:Intel i7, 4核,2.7GHz。内存:16G),硬件够用。客户端用Go编写,1个goruntine启...
几种TCP连接中出现RST的情况( 比较详细)
最新发布
赵凯月的博客
06-19 665
总结,本文讲了几种TCP连接中出现RST的情况。实际上肯定还有无数种的RST发生,我以后会慢慢收集把更多的例子加入这篇文章。
wireshark 学习更进一步 之RST数据解读
yuanbinquan的专栏
07-20 1万+
1、定义: RST表示复位,RST=1表示TCP中出现严重错误(由于主机崩溃或其它原因),必须释放连接。RST=1还可用来拒绝一个非法的报文段或拒绝打开一个连接。发送RST后不会再有正常的四分组终止序列(Unix网络编程so_linger选项)。 2、有三个条件可以产生RST: *SYN到达某端口但此端口上没有正在监听的服务器(针对TCP而言,UDP则返回端口不可达ICMP错误)。 *TC
Wireshark TS | SYN-SYN/ACK-RST 问题
7ACE的博客
03-04 3913
Wireshark TS | SYN-SYN/ACK-RST 问题
网络Wireshark分析RST消息
m0_45406092的博客
04-14 9638
1、定义: RST表示复位,RST=1表示TCP中出现严重错误(由于主机崩溃或其它原因),必须释放连接。RST=1还可用来拒绝一个非法的报文段或拒绝打开一个连接。发送RST后不会再有正常的四分组终止序列(Unix网络编程so_linger选项)。 2、有三个条件可以产生RST: *SYN到达某端口但此端口上没有正在监听的服务器(针对TCP而言,UDP则返回端口不可达ICMP错误)。 *TCP想取消...
gns3中两个路由器分别连接主机然后分析ip数据转发报文arp协议_wireshark分析(传输层,网络层,链路层)...
weixin_39582708的博客
10-22 606
wireshark抓包软件总是友善地帮包分层...1.链路层。Ethernet II协议即以太网协议。以太网帧的格式如下:这里的地址指的是MAC地址,每一个网卡对应唯一的MAC。 类型指的是IP、ARP...... 。CRC效验数据是否异常。在wireshark 中,数据包的第二行指的是链路层协议。在Ethernet II中,SRC表示的是源地址。DST代表目的地址。Type(类型)为...
Wireshark TS | SYN-SYN/ACK-RST 问题二
7ACE的博客
06-17 3114
Wireshark TS | SYN-SYN/ACK-RST 问题二
wireshark出现rst的原因_多次RST以及不同场景下的RST报文的差异
weixin_30114439的博客
01-13 2289
多次RST以及不同场景下的RST报文的差异作者:易隐者 发布于:2012-10-9 11:27 Tuesday分类:网络分析在某个TCP交互过程中,我们发现在交互的后期,客户端多次向服务器发送RST报文,如下图所示:我们首先来看客户端发出的第一个RST报文的解码:RST与ACK标志位都置一了,并且具有ACK number,非常明显,这个报文在释放TCP连接的同时,完成了对前面已接收报文的确认。我...
Wireshark基本介绍和学习TCP三次握手
09-01
在学习TCP三次握手的过程中,Wireshark提供了直观的方式去观察这一过程。TCP连接建立时,客户端首先发送一个SYN(同步序列号)包,服务器回应一个SYN+ACK(确认应答)包,最后客户端再发送一个ACK包以确认连接。通过...
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
三次握手于四次挥手.docx
09-05
3. **第三次握手**:客户端再次向服务器发送一个仅带有ACK标志位的报文,确认服务器的序号。至此,双方都确认了彼此的序号,连接正式建立。 ### 四次挥手 四次挥手则用于终止已建立的TCP连接。这个过程更复杂,...
TCP三次握手详解
weixin_58464712的博客
12-30 343
TCP三次握手详解
wireshark出现rst的原因_Wireshark过滤器的使用
weixin_29123281的博客
01-13 1718
捕获过滤器我们在使用Wireshark捕获数据包时,对于并不需要分析某个类型的流量,可以使用捕获过滤器来过滤,加速分析过程。具体设置如下:捕获->选项(快捷键为Ctrl+K)在捕获过滤器对话框输入表达式: dst 106.39.162.247 ,表示捕获目的IP地址106.39.162.247的流量0x00:BPF(Berkeley Packet Filter)语法一个BPF表达式(过滤器)...
什么是RST包,什么是三次握手,什么是四次握手 ---请进
weixin_34390105的博客
03-30 1984
一、RST包、本人学习后总结:RST包用于强制关闭TCP链接。 TCP连接关闭的正常方法是四次握手。但四次握手不是关闭TCP连接的唯一方法. 有时,如果主机需要尽快关闭连接(或连接超时,端口或主机不可达),RST (Reset)包将被发送. 注意,由于RST包不是TCP连接中的必须部分, 可以只发送RST包(即不带ACK标记). 但在正常的TCP连接中RST包可以带ACK确认标记。  二、三次...
Wireshark数据抓包分析之传输层协议(TCP协议)
蚁景网安学院
02-22 2517
使用TCP协议传输数据相对来说更安全,因为通信双方拥有一个专属的通信通道,每发送一个数据包都有确认回复,若数据包丢失。如果发送放没收到确认包,就可以重发这个数据包。 最经典的例子就是三次握手三次握手是通信双方建立TCP连接前的必须步骤。第一次握手时请求方向接收方发送友好问候,请求建立连接。第二次握手接收方礼貌回复,表示收到请求。第三次握手请求方坚定交往信息,向接收方表示已做好了连接准备。于是双方的TCP连接就建好啦~ 完成三次握手后,双方就可以开始传输数据了。当然,握手很严谨,说再见也是一丝不苟的。详细内
wireshark出现rst的原因_Wireshark常用选项和功能
weixin_34420941的博客
01-30 549
host 192.168.1.22 #抓取此ip的数据包;not host 192.168.1.22 #抓取非此ip的数据包;src host 192.168.1.22 #抓取来自此ip的数据包;dst host 192.168.1.22 #抓取发送到此ip的数据包;host 192.168.1.22 or 192.168.2.11host www.qq.comnet 19...
Wireshark如何显示TCP三次握手的详细信息?
06-14
Wireshark是一款强大的网络协议分析工具,它可以让你深入地查看和解析网络数据包,包括TCP三次握手的过程。在Wireshark中,你可以按照以下步骤来观察TCP三次握手的详细信息: 1. **启动Wireshark**:首先,确保Wireshark已经安装并在运行。通常可以在任务栏或桌面找到它的图标。 2. **设置捕获过滤器**:在Wireshark的顶部菜单栏,选择"过滤器"(Filter),输入`tcp.flags.syn==1 && tcp.flags.ack==0`,这将只显示 SYN 包(第一次握手)和未确认的 SYN-ACK 包(第二次握手)。 3. **开始抓包**:点击开始捕获按钮(通常是黄色的三角形图标),或者使用快捷键F5,Wireshark将开始监听网络并显示数据包。 4. **查找三次握手**:在捕获的包列表中,观察那些发送者地址和接收者地址都不同,且标志(Flags)栏中包含 SYN 和 SYN/ACK 的包。第一次握手是发送方(SYN)给接收方,第二次是接收方回应(SYN/ACK),第三次是发送方确认(ACK)。 5. **查看详细信息**:双击任何一个数据包,你会进入详细的TCP会话视图,这里可以看到源IP、目的IP、源端口、目的端口以及TCP头部的各个字段,如Sequence Number、Acknowledgment Number等,这些都可以帮助你理解三次握手的每个阶段。 6. **时间线和交互模式**:Wireshark的时间线功能可以帮你同步查看数据包的时间关系,这对于理解三次握手的顺序至关重要。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值