Re: Странное поведение TCP
On Tue, Sep 29, 2015 at 12:09:21PM +0300, Max Dmitrichenko wrote:
> 29 сентября 2015 г., 11:08 пользователь Eugene Berdnikov
> <bd4@protva.ru> написал:
> > Поскольку "чёрный ящик", в нём может жить некая сущность, рвущая
> > коннекции по своему усмотрению. Типичные гадости такого рода делаются
> > железками от Cisco, с их бредовыми inspect'ами и rate limit'ами.
> > Опознаётся подлянка по id'ам, ttl'ам и прочим деталям, отличающим
> > посторонние RST от тех, которые генерит ядро сервера.
>
> Да, TTL действительно отличается. У SYN-ACK и других пакетов он 125, а
> у этого RST - 254.
Вот и ответ. Вероятно, это циска, она рвёт коннекции пакетами с ttl=255.
То есть между ней и тем местом, где снимался дамп, ровно один роутер.
А сервер, подозреваю, под Windows, между ним и вредителем ещё 1 роутер.
--
Eugene Berdnikov
Reply to: