Home Sign Up Sign In
KCheshireCat
V2EX  ›  问与答

TCP 握手包 TTL 值很反常这是被干扰了吗?已经开始直接干扰握手了?

  •   
  •   KCheshireCat · Apr 4, 2015 · 3721 views
    This topic created in 4099 days ago, the information mentioned may be changed or developed.
    Wireshark的记录:

    https://www.cloudshark.org/captures/46c68de450c4

    包含了3次TCP发起链接到被RST的记录

    访问目的地是“www.notebookcheck.net”

    每次握手的响应包TTL值都不同,只有最后一次是符合其他包TTL的

    ISP:浙江移动
  • TTL
  • TCP
  • 握手
    6 replies    2015-04-04 13:31:16 +08:00
    swordfeng
        1
    swordfeng  
       Apr 4, 2015 via Android   ❤️ 1
    特征一模一样。。。握手第三次的ack被drop,然后一堆rst还发几遍。。。。。。
    swordfeng
        2
    swordfeng  
       Apr 4, 2015 via Android
    话说rst的ttl那么小。。。某墙的初始ttl是多少啊。。。
    KCheshireCat
        3
    KCheshireCat  
    OP
       Apr 4, 2015
    @swordfeng

    第二次握手好像是被抢答了,我用iptables drop一些包以后,收到了TTL44的握手包。
    但是还是无法建立连接。应该就是第三次握手被drop了

    RST的TTL是没问题的,是某些东西诱使服务器丢出RST包?

    抢答包ttl大概是随机值,小的大的都有。
    kcworms
        4
    kcworms  
       Apr 4, 2015
    我也是浙江移动,访问这个站点没有问题。这种干扰方式在浏览器上观察和经典的RST有什么不一样吗?
    另外还有一种干扰模式(在下载特定文件的时候出现,我自己看不懂……): https://www.cloudshark.org/captures/f43dd178bb05
    yksoft1
        5
    yksoft1  
       Apr 4, 2015
    @kcworms 感觉是ACK抢答干扰这边IP栈的逻辑吧。。然后话说三次元的这种东西早就无感了
    kcworms
        6
    kcworms  
       Apr 4, 2015
    @yksoft1 这个URL是随便从最容易干扰的URL里面挑的,我其实不看……

    用PY的requests测试,这种干扰能导致进程假死,感觉这是故意的
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3728 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 61ms · UTC 05:02 · PVG 13:02 · LAX 22:02 · JFK 01:02
    ♥ Do have faith in what you're doing.