Perché ci sono pacchetti ESTABLISHED senza precedenti SYN_SENT o SYN_RECV


0

Apro due finestre bash da una netstat -anutpc | grep ESTABLISHED | grep kdeparte all'altra , una con: l'altra con netstat -anutpc | grep -e SYN_SENT -e SYN_RECV, poi inizio konquerore vado su YouTube.

Ho ottenuto due IP a cui il mio computer ha inviato SYN_SENT(no SYN_RECV) ma ho avuto un po 'di IP nella ESTABLISHEDfinestra di monitoraggio che non ha la sua controparte nell'altra bash.

Sto solo cercando di capire come funziona tutto questo, potresti spiegare perché ci sono pacchetti che fanno parte di una connessione STABILITA che non sono mai stati avviati? Penso che chiudere konqueror per più di 2 minuti dovrebbe chiudere tutte le connessioni associate al software, quindi se lo riaprire 2 minuti dopo dovrebbe rinviare tutti i pacchetti SYN.

Risposte:


2

La mia ipotesi è che l'handshake si verifichi troppo in fretta per essere notato dal tuo monitoraggio. L' -copzione non è davvero continua; tutto ciò che fa è ripetere l'output ogni secondo , e la maggior parte degli handshake TCP in effetti avviene molto più velocemente di così.

Se desideri davvero un feed live , utilizza una delle seguenti opzioni:

  • Eventi conntrack di Linux : mostra le connessioni nuove e distrutte quando il firewall le vede:

    conntrack -E -p tcp
    

    Utilizzare -p tcpper filtrare solo TCP; altrimenti mostrerà anche UDP. Anche se UDP stesso è privo di connessione, gli stati vengono mantenuti per scopi di firewall o NAT.

  • Pacchetti TCP / IP non elaborati: mostra i pacchetti TCP con flag SYN, FIN o RST:

    tcpdump -n -i eth0 "tcp[tcpflags] & (tcp-syn|tcp-fin|tcp-rst) != 0"
    
    tshark -n -i eth0 "tcp[tcpflags] & (tcp-syn|tcp-fin|tcp-rst) != 0"
    

    (Puoi anche filtrare solo "tcp"o rimuovere completamente il filtro.)


la sostituzione di eth0 con tun0 l'ha fatto funzionare, ma hai idea del perché Conntrack non funziona anche dopo aver chiuso openvpn?
CesellatoAbs

Volevo solo dire lo stesso di grawity. Per vedere gli stati SYN_SENT basta bloccare i pacchetti SYN, ACK dai siti Web remoti: in iptables -I INPUT 1 -p tcp -m tcp -m multiport 80,443 --tcp-flags SYN,ACK SYN,ACK -j DROPquesto modo non si riceverà mai un riconoscimento da alcun host remoto per impostare la connessione TCP in risposta al pacchetto SYN iniziale.
Oleg Bolden,

Non hai detto come conntrack "non funziona", ma è possibile che non sia caricato nel kernel finché qualcosa non tenta di usarlo. Potrebbe essere che funzioni per me perché ho -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTcome parte delle mie regole di iptables.
Grawity

Per ripristinare il firewall iptables, invocareiptables -D INPUT 1
Oleg Bolden l'
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.