V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
KCheshireCat
V2EX  ›  问与答

TCP 握手包 TTL 值很反常这是被干扰了吗?已经开始直接干扰握手了?

  •  
  •   KCheshireCat · 2015-04-04 02:07:01 +08:00 · 3301 次点击
    这是一个创建于 3551 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Wireshark的记录:

    https://www.cloudshark.org/captures/46c68de450c4

    包含了3次TCP发起链接到被RST的记录

    访问目的地是“www.notebookcheck.net”

    每次握手的响应包TTL值都不同,只有最后一次是符合其他包TTL的

    ISP:浙江移动
    6 条回复    2015-04-04 13:31:16 +08:00
    swordfeng
        1
    swordfeng  
       2015-04-04 10:22:10 +08:00 via Android   ❤️ 1
    特征一模一样。。。握手第三次的ack被drop,然后一堆rst还发几遍。。。。。。
    swordfeng
        2
    swordfeng  
       2015-04-04 10:22:50 +08:00 via Android
    话说rst的ttl那么小。。。某墙的初始ttl是多少啊。。。
    KCheshireCat
        3
    KCheshireCat  
    OP
       2015-04-04 10:47:33 +08:00
    @swordfeng

    第二次握手好像是被抢答了,我用iptables drop一些包以后,收到了TTL44的握手包。
    但是还是无法建立连接。应该就是第三次握手被drop了

    RST的TTL是没问题的,是某些东西诱使服务器丢出RST包?

    抢答包ttl大概是随机值,小的大的都有。
    kcworms
        4
    kcworms  
       2015-04-04 11:43:56 +08:00
    我也是浙江移动,访问这个站点没有问题。这种干扰方式在浏览器上观察和经典的RST有什么不一样吗?
    另外还有一种干扰模式(在下载特定文件的时候出现,我自己看不懂……): https://www.cloudshark.org/captures/f43dd178bb05
    yksoft1
        5
    yksoft1  
       2015-04-04 13:13:36 +08:00
    @kcworms 感觉是ACK抢答干扰这边IP栈的逻辑吧。。然后话说三次元的这种东西早就无感了
    kcworms
        6
    kcworms  
       2015-04-04 13:31:16 +08:00
    @yksoft1 这个URL是随便从最容易干扰的URL里面挑的,我其实不看……

    用PY的requests测试,这种干扰能导致进程假死,感觉这是故意的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4128 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:25 · PVG 13:25 · LAX 21:25 · JFK 00:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.