Wireshark TS | SYN-SYN/ACK-RST 问题二

已于 2024-03-23 18:06:11 修改
阅读量3k 收藏 6
点赞数 1
分类专栏: NetShark 文章标签: wireshark 网络 网络协议 tcp/ip tcpdump
于 2022-06-17 08:12:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47627078/article/details/125326457
版权

问题背景

用户反馈说观察到一个设备连接的奇怪问题,客户端(172.18.0.122)尝试连接到服务器(172.18.50.1),之后服务器回复 SYN-ACK,再收到消息后不久,客户端直接发送 RST,并在一段时间后又重复尝试连接。总结下来就是一段 SYN-SYN/ACK-RST 的异常问题,用户因此请求帮助。

案例取自 Wireshark 官方问答论坛
https://osqa-ask.wireshark.org/questions/57774/syn-synack-rst-reason/

首先结论先行,该问题是由于 TCP Options 时间戳不匹配而导致的故障,类似的案例其实在以前文章《SYN-SYN/ACK-RST 问题》中详细分析过,有熟悉 TCP Options 时间戳或者看过之前文章的同学完全可以忽略本章。


问题信息

还是惯例,跟踪文件基本信息如下:

$ capinfos 47-02-capture.pcap                                        
File name:           47-02-capture.pcap
File type:           Wireshark/tcpdump/... - pcap
File encapsulation:  Ethernet
File timestamp precision:  microseconds (6)
Packet size limit:   file hdr: 262144 bytes
Number of packets:   42
File size:           3468 bytes
Data size:           2772 bytes
Capture duration:    27.523737 seconds
First packet time:   2016-11-30 13:29:37.486887
Last packet time:    2016-11-30 13:30:05.010624
Data byte rate:      100 bytes/s
Data bit rate:       805 bits/s
Average packet size: 66.00 bytes
Average packet rate: 1 packets/s
SHA256:              03cb0e89dc8e85cff6039e4e92e143dd2dc5c1ee8586c016cc7930ba0f9d3db8
RIPEMD160:           95f9199bbab6773e56e3e03de0e24d98caed1e7f
SHA1:                27abebf77b7135ab244f390ce3b5d59bc718f6fc
Strict time order:   True
Number of interfaces in file: 1
Interface #0 info:
                     Encapsulation = Ethernet (1 - ether)
                     Capture length = 262144
                     Time precision = microseconds (6)
                     Time ticks per second = 1000000
                     Number of stat entries = 0
                     Number of packets = 42

跟踪文件在 linux 上通过 tcpdump 所捕获,数据包数量并不多,只有 42 个,结合专家信息的简单浏览,确实符合用户所说的一些现象,SYN、SYN/ACK 和 RST 现象,计数为 14 ,比例 1:1:1 ,无法正常建立连接。

SYN-01

问题分析

通过 Wireshark 查看数据包列表信息,

SYN-02

主要分析如下:

  1. 捕获是在客户端上进行,因为 RST 数据包 length 只有 54 字节,进入网卡传输之前并未填充至以太网帧最小标准 60 字节长度;
  2. TCP 握手阶段,以规律性的 SYN-SYN/ACK-RST 进行重复,并未成功建立起连接;
  3. 服务器能正常返回 SYN/ACK,排除服务端口未打开问题;
  4. 客户端主动发起 RST;
  5. RTT 时间约 2.7-3.2ms 之间;
  6. Seq num 和 Ack num 未见异常;
  7. 客户端不断尝试发起新连接,因源端口号复用的原因,所以会产生一些 TCP Port number reusedTCP Retransmission 以及 TCP Previous segment not caputred 的提示信息。实际上考虑到上下文,这些连接并没有直接相关性,判断并不是完全准确。可以通过临时关闭 Analyze TCP sequence numbers 选项后查看,如下图可能更加清晰。

SYN-03

考虑到每个人不同的着色规则习惯,以下分析禁用着色规则可能看得更加清楚,红红绿绿的一大片有时会看得不太习惯 🤣

直接进入问题所在,Server 的 SYN/ACK 中 TSOPT 存在异常,TSecr 值 1072693248,不同于 Client 的 SYN 中 TSval 值 147472368 ,正常情况下应该相同,造成客户端 RST 此连接。其他连接 RST 均是相同原因。

SYN-04

进一步查看 Timestamp Value , 其中 No.1 和 No.2 数据帧信息如下,服务器 SYN/ACK 中的时间戳值左移了 2 字节,可能是服务器内核协议栈实现有问题,也可能是中间传输设备错误修改导致。

SYN-05

SYN-06

解决方式可以在客户端或服务器端关闭 TCP Timestamp 选项支持。TSOPT 值仅在客户端和服务器两端均支持该选项的情况下,才会在会话中一直携带。如果在客户端关闭选项的情况下,则服务器因此也不会发送带有 TSOPT 的数据包 。

RFC 7323
TCP Timestamps option (TSopt):
Kind: 8
Length: 10 bytes

SYN-07

Timestamp Value (TSval). 32 bits.
This field contains the current value of the timestamp clock of the TCP sending the option.

Timestamp Echo Reply (TSecr). 32 bits.
This field is only valid if the ACK bit is set in the TCP header. If it is valid, it echos a timestamp value that was sent by the remote TCP in the TSval field of a Timestamps option. When TSecr is not valid, its value must be zero. The TSecr value will generally be from the most recent Timestamp option that was received; however, there are exceptions that are explained below. A TCP may send the Timestamp option in an initial SYN segment (i.e., segment containing a SYN bit and no ACK bit), and may send a TSopt in other segments only if it received a TSopt in the initial SYN segment for the connection.

同样再次展示两个简单示例
正常两端均支持 TSOPT 的连接, 之后交互中均带有 TSOPT 值。

SYN-08

仅一端支持 TSOPT 的连接,之后交互中并无 TSOPT 值。

SYN-09

问题总结

TCP TSOPT 案例确实比较难见,但从判断分析以及解决方式来说相对会比较简单。


感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。
7ACE
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP/IP详解--发送ACKRST的场景
鱼思故渊的专栏
03-18 2万+
在有以下几种情景,TCP会把ack包发出去: 1.收到1个包,启动200ms定时器,等到200ms的定时器到点了(第个包没来),于是对这个包的确认ack被发送。这叫做“延迟发送”; 2.收到1个包,启动200ms定时器,200ms定时器还没到,第个数据包又来了(两个数据包一个ack); 3.收到1个包,启动200ms定时器,还没超时,正好要给对方发点内容。于是对这个包的确认ack就跟着捎
wireshark、异常数据分析、常见RST介绍
weixin_33716941的博客
04-13 2428
简介 Wireshark(前称Ethereal)是一个网络封包分析软件,可分析网路状态,丢包率等。 由于公司做的即时通讯业务,其中IM模块采用TCP发送数据和控制信令(心跳包)底层采用protobuf传输数据,音视频采用TRP协议,然后给大客户集团提供私有化部署,由于客户网络环境复杂,所以需具备一定的抓包分析能力。 下面介绍常见的TCP层的常用FLAGS。 标志位 描述 SYN ...
最全Wireshark网络抓包分析_wireshark抓包数据怎么看,想给金三银四找工作的程序员几点建议
最新发布
2401_84978645的博客
05-16 1172
ICMP(Internet Control Message Protocol)网际报文控制协议,用于传输错误报告控制信息,对网络安全有极其重要的意义。例如请求的服务不可用、主机或路由不可达,ICMP协议依靠IP协议来完成任务,是IP协议的一个集成部分。通常不被用户网络程序直接使用,多用于ping和tracert等这样的诊断程序。UDP(User Datagram Protocol)用户数据报协议,提供面向事务的简单不可靠信息传送服务。将网络数据流压缩成数据包的形式。
Wireshark TS | SYN-SYN/ACK-RST 问题
7ACE的博客
03-04 3833
Wireshark TS | SYN-SYN/ACK-RST 问题
关于ubuntu系统作为TCP客户端建立三次握手时,收到服务器发送的SYN/ACK报文时,自动回复RST报文中断握手问题
m0_60004752的博客
04-23 488
关于ubuntu系统作为TCP客户端建立三次握手时,收到服务器发送的SYN/ACK报文时,自动回复RST报文中断握手问题
TCP/IP笑话
weixin_33978016的博客
12-11 307
加IT师兄为好友。弹过来的第一句话是:”syn”百度了半天回了句:”ack?”IT师兄于是很满意地说:”Yes.”加师妹为好友,效仿IT师兄发过去一条”syn”,师妹回复”rst” 找师弟传一张纸条求师妹交往,写上syn。过几天师弟转来了rst。再过几天师妹表示她发送了syn+ack,而收到了rst。看看TCP/IP协议的三次握手原则。 首先看右边服务器处理请求之前。...
TCP连接:SYN ACK RST UTG PSH FIN
相见不如怀念
11-09 372
TCP连接:SYN ACK RST UTG PSH FIN 三次握手:发送端发送一个SYN=1,ACK=0标志的数据包给接收端,请求进行连接,这是第一次握手;接收端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让发送端发送一个确认数据包,这是第次握手;最后,发送端发送一个SYN=0,ACK=1的数据包给接收端,告诉它连接已被确认,这就是...
12.1.1 SYN 扫描 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-04
Wireshark 的 Conversations 窗口可以显示攻击者和受害者之间的 IPv4 会话和 TCP 会话,从中我们可以看到攻击者发送的 SYN 数据包和受害者回复的 SYN/ACK 数据包或 RST 数据包。 在捕获文件中,我们可以看到攻击者...
10.3.3 上游问题 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
4. TCP 握手的过程是判断服务器是否响应的关键,三次未收到 SYN/ACK 数据包通常意味着远程服务器存在问题。 5. 确定问题不在本地网络后,应及时向上级或远程网络管理员报告,以便协同解决问题。 了解这些知识点有助...
TCP.rar_TCP v6.0_manner71q_turng41_wireshark_计算机网络实验TCP
07-15
TCP实验中,我们可以利用Wireshark来观察TCP连接的建立、数据传输、以及连接的终止过程,分析SYNACK、FIN等不同TCP旗标字段的作用。 实验TCP).doc文件很可能是本次实验的指导文档,包括了实验目的、步骤、...
8.1.1 TCP 报头 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
TCP报头中的标志字段包括URG、ACK、PSH、RSTSYN和FIN,它们代表了不同的控制信号: - URG:紧急指针有效,表示数据包包含紧急数据,需要立即处理。 - ACK:确认号有效,表明接收方已接收到了之前的数据。 - ...
5.6 数据包长度 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
相反,如果大多数数据包的大小在40到79字节之间,这可能意味着网络上更多的是TCP控制包,如ACKRSTSYN和FIN等。 以太网头部通常为14字节,IP头部至少20字节,TCP头部也至少20字节,因此一个典型的TCP控制包大小...
TCP——SYNACK、FIN、RST、PSH、URG详解
热门推荐
学而不思则罔
04-15 3万+
三次握手Three-way Handshake     一个虚拟连接的建立是通过三次握手来实现的     1. (B) --> [SYN] --> (A)     假如服务器A和客户机B通讯. 当A要和B通信时,B首先向A发一个SYN (Synchronize) 标记的包,告诉A请求建立连接.     注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Res
WiresharkTCP的状态 (SYN, FIN, ACK, PSH, RST, URG)
墨痕诉清风的博客
11-13 5403
其中,ACK是可能与SYN,FIN等同时使用的,比如SYNACK可能同时为1,它表示的就是建立连接之后的响应,如果只是单个的一个SYN,它表示的只是建立连接。位码即tcp标志位,有6种标示:SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)Sequence number(顺序号码) Acknowledge number(确认号码)
TCP的几个状态
weixin_34288121的博客
03-05 260
2019独角兽企业重金招聘Python工程师标准>>> ...
TCP的状态(SYN,FIN,RSTACK,PSH,URG)
星爷2401
12-12 7546
TCP的标志位有SYN,FIN,RSTACK,PSH,URG SYN:建立连接。 FIN:关闭连接。 RST:连接重置。 ACK:相应。 PSH:有数据传输。 URG:urgent紧急。 ACK可以和其他的命令同时使用:比如SYNACK同时为1,代表建立连接之后立即相应,如果只有SYN为1,则代表只是建立了链接。 TCP的三次握手是通过ACK来体现的: 第一次:A主机发送位码
wireshark出现rst的原因_多次RST以及不同场景下的RST报文的差异
weixin_30114439的博客
01-13 2267
多次RST以及不同场景下的RST报文的差异作者:易隐者 发布于:2012-10-9 11:27 Tuesday分类:网络分析在某个TCP交互过程中,我们发现在交互的后期,客户端多次向服务器端发送RST报文,如下图所示:我们首先来看客户端发出的第一个RST报文的解码:RSTACK标志位都置一了,并且具有ACK number,非常明显,这个报文在释放TCP连接的同时,完成了对前面已接收报文的确认。我...
Communications--7--Wireshark抓包-最实用的命令和分析方法
天明宇朗的博客
09-06 897
1、如何筛选出含有FIN,RSTSYNTCP状态? win10系统截图:shift+windows徽标键+s, 输入tcp.co,自动出现下方的选择,选FIN等即可。
https://gitlab.com/wireshark/wireshark/-/tree/master/plugins/dubbo 链接不存在
05-30
非常抱歉,由于Wireshark插件的更新和迁移,之前提供的链接已经失效,现在可以通过以下步骤下载Dubbo插件: 1. 打开Wireshark插件官方仓库的网站:https://code.wireshark.org/review/gitweb?p=wireshark.git;a=tree;f=plugins/dubbo 2. 在页面中找到与你的Wireshark版本匹配的Dubbo插件。如,如果你使用的是Wireshark 3.2.18版本,则应该选择dubbo-3.2.18-1.0.1.zip版本的Dubbo插件。 3. 点击下载链接下载对应版本的Dubbo插件。 4. 下载完成后,解压缩插件文件,将其中的dubbo.dll文件复制到Wireshark的plugins文件夹中。 5. 重启Wireshark,就可以开始解析Dubbo协议的数据包了。 注意:Wireshark和Dubbo插件的版本需要匹配,否则可能会出现解析异常或无法解析的情况。在下载Dubbo插件时,需要确保下载的插件版本与你的Wireshark版本匹配。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值