第一个包不是SYN包?用科来数据包分析软件排除一次故障。
#第一个包不是SYN包?用科来数据包分析软件排除一次故障。
某金融机构防火墙安全运维人员巡检发现,在互联网区域防火墙不断报送First packet isn’t SYN的日志(见图1),几乎时时刻刻有,影响了防火墙日志存储,但是无业务影响,运维人员觉得比较奇怪,为分析清楚问题,求助于网络抓包人员进行分析。网络抓包人员利用科来数据包分析软件进行分析。
图1 异常现象
分析过程
根据日志字面意思,第一个包不是SYN包,我们都知道,TCP三次握手,建立会话过程中,首先建立三次握手(见图2),三次握手第一个包就是SYN包,那这里第一个包不是SYN包,那是什么包呢,抓包人员决定通过部署科来回溯分析系统进行分析。
图2 三次握手
如图3所示拓扑结构,在防火墙发现有该异常日志,抓包人员决定首先在服务器接入交换机处进行抓包。
图3 网络拓扑
通过在服务器端抓包分析(图4),定位到防火墙发送First packet isn’t SYN日志时间点对比,发现在服务器发送ACK+FIN时防火墙出现相关异常日志,同时服务器不断发送ACK+FIN包,直到服务器超时。通过这个数据交互过程可以看到服务器不断重传ACK+FIN包,但是没有收到客户端的ACK回应。
图4 数据包
通过上述报文,我们知道正常TCP会话结束时要经历四次握手(图5),才能结束会话。但是上述会话在第二次会话时服务器再次进行第三次握手时就失败,结合防火墙日志,我们可以推断出:
1、防火墙在处理会话结束时,未完全按照标准TCP四次握手就将会话清除;
2、服务器按照正常流程进行TCP会话结束时的第三次握手,防火墙因为不存在会话,认为服务器主动新建会话,但是主动新建会话又不是TCP会话建立过程中的SYN包,经过对会话进行包状态检查,所以防火墙发出“First packet isn’t SYN”的异常日志;
3、服务器因为发出FIN+ACK包未收到回应,所以不断重传FIN+ACK包,每发一个包,防火墙就认为就是新建会话,就发出一次日志,导致大量的防火墙日志。
图5 TCP四次握手结束
分析结论与解决方案
根据以上分析,由于防火墙处理机制异常,导致该日志反复报送。经咨询防火墙厂家,因防火墙放置于互联网区域,有可能面临大量会话,为避免会话超标,配置两次握手后防火墙就清除会话。根据多方讨论综合讨论,认为相对于大量会话对防火墙造成的压力,这个日志可以接受,最终保持原状。
本案例,通过科来回溯分析系统进行回溯抓包,通过大量日志和数据包的匹配,在短时间内可以定位问题,通过接受该风险来解决问题。
- 谁丢了TCP 2000数据包?用科来回溯软件分析SCCP 应用安全网关(ALG)故障。
- 记一次网络故障排除:nat虚拟机不能ping外网 浏览器可以上网
- 使用包分析软件排查网络故障
- SCCM2007R2 的软件分发故障排除
- CentOS6下一次网络ping包没回应的故障分析
- 基于图形化的实用化故障分析软件系统开发
- 系统故障分析与排除
- 软件常见故障的现象、故障排除的方法
- 电脑软件故障排除2014年2月16日[修正版]
- visual stadio.net已检测到web服务器运行的不是asp.net1.1版"故障的排除
- 关于Windows XP系统常见关机故障原因分析及排除
- 5012.协议分析软件捕捉RIP、OSPF和EIGRP的数据包
- 用协议软件分析ping大包丢包故障
- 记一次lvs-tunnel模式的故障分析(7)
- 分析ARP,排除网络故障
- 有关在安装了防病毒软件的 Exchange Server 计算机上排除故障的建议
- 局域网共享故障的分析与排除
- 对一次网络故障的分析
- 中小异构Linux网络故障分析与排除
- 如何进行WebShpere MQ 运行故障的定位分析和排除