第一个包不是SYN包？用科来数据包分析软件排除一次故障。

#第一个包不是SYN包？用科来数据包分析软件排除一次故障。

某金融机构防火墙安全运维人员巡检发现，在互联网区域防火墙不断报送First packet isn’t SYN的日志(见图1)，几乎时时刻刻有，影响了防火墙日志存储，但是无业务影响，运维人员觉得比较奇怪，为分析清楚问题，求助于网络抓包人员进行分析。网络抓包人员利用科来数据包分析软件进行分析。

图1 异常现象

分析过程

根据日志字面意思，第一个包不是SYN包，我们都知道，TCP三次握手，建立会话过程中，首先建立三次握手（见图2），三次握手第一个包就是SYN包，那这里第一个包不是SYN包，那是什么包呢，抓包人员决定通过部署科来回溯分析系统进行分析。

图2 三次握手
如图3所示拓扑结构，在防火墙发现有该异常日志，抓包人员决定首先在服务器接入交换机处进行抓包。

图3 网络拓扑
通过在服务器端抓包分析（图4），定位到防火墙发送First packet isn’t SYN日志时间点对比，发现在服务器发送ACK+FIN时防火墙出现相关异常日志，同时服务器不断发送ACK+FIN包，直到服务器超时。通过这个数据交互过程可以看到服务器不断重传ACK+FIN包，但是没有收到客户端的ACK回应。

图4 数据包
通过上述报文，我们知道正常TCP会话结束时要经历四次握手（图5），才能结束会话。但是上述会话在第二次会话时服务器再次进行第三次握手时就失败，结合防火墙日志，我们可以推断出：
1、防火墙在处理会话结束时，未完全按照标准TCP四次握手就将会话清除；
2、服务器按照正常流程进行TCP会话结束时的第三次握手，防火墙因为不存在会话，认为服务器主动新建会话，但是主动新建会话又不是TCP会话建立过程中的SYN包，经过对会话进行包状态检查，所以防火墙发出“First packet isn’t SYN”的异常日志；
3、服务器因为发出FIN+ACK包未收到回应，所以不断重传FIN+ACK包，每发一个包，防火墙就认为就是新建会话，就发出一次日志，导致大量的防火墙日志。

图5 TCP四次握手结束

分析结论与解决方案

根据以上分析，由于防火墙处理机制异常，导致该日志反复报送。经咨询防火墙厂家，因防火墙放置于互联网区域，有可能面临大量会话，为避免会话超标，配置两次握手后防火墙就清除会话。根据多方讨论综合讨论，认为相对于大量会话对防火墙造成的压力，这个日志可以接受，最终保持原状。
本案例，通过科来回溯分析系统进行回溯抓包，通过大量日志和数据包的匹配，在短时间内可以定位问题，通过接受该风险来解决问题。