TCP Analysis Flags 之 TCP Port numbers reused

前言

默认情况下,Wireshark 的 TCP 解析器会跟踪每个 TCP 会话的状态,并在检测到问题或潜在问题时提供额外的信息。在第一次打开捕获文件时,会对每个 TCP 数据包进行一次分析,数据包按照它们在数据包列表中出现的顺序进行处理。可以通过 “Analyze TCP sequence numbers” TCP 解析首选项启用或禁用此功能。

TCP 分析展示

在数据包文件中进行 TCP 分析时,关于 “TCP Port numbers reused” 一般是如下显示的,包括:

  1. Packet List 窗口中的 Info 信息列,以 [TCP Port numbers reused] 黑底红字进行标注;
  2. Packet Details 窗口中的 TCP 协议树下,在 [SEQ/ACK analysis] -> [TCP Analysis Flags] 中定义该 TCP 数据包的分析说明。

image.png

TCP Port numbers reused 定义

实际在 TCP 分析中,关于 TCP Port numbers reused 的定义非常简单,如下,针对 SYN 数据包(而不是SYN+ACK),如果已经有一个使用相同 IP+Port 的会话,并且这个 SYN 的序列号与已有会话的 ISN 不同时设置。

Set when the SYN flag is set (not SYN+ACK), we have an existing conversation using the same addresses and ports, and the sequence number is different than the existing conversation’s initial sequence number.

注意:官方文档此处说明的是 SYN,而非 SYN/ACK,和实际代码实现的却不一样,下述展开说明。

具体的代码如下,主要作用是处理 SYN 以及 SYN/ACK 数据包,判断是新连接还是已有连接的重传,并相应地创建新会话或更新会话的序列号等,并设置相关标志位。总的来说,这是 Wireshark 分析 TCP 流量时处理 SYN 和 SYN/ACK 数据包的一个重要环节,用于正确识别连接和更新状态信息。

    /* If this is a SYN packet, then check if its seq-nr is different* from the base_seq of the retrieved conversation. If this is the* case, create a new conversation with the same addresses and ports* and set the TA_PORTS_REUSED flag. (XXX: There is a small chance* that this is an old duplicate SYN received after the connection* is ESTABLISHED on both sides, the other side will respond with* an appropriate ACK, and this SYN ought to be ignored rather than* create a new conversation.)** If the seq-nr is the same as the base_seq, it might be a simple* retransmission, reattempting a handshake that was reset (due* to a half-open connection) with the same sequence number, or* (unlikely) a new connection that happens to use the same sequence* number as the previous one.** If we have received a RST or FIN on the retrieved conversation,* create a new conversation in order to clear out the follow info,* sequence analysis, desegmentation, etc.* If not, it's probably a retransmission, and will be marked* as one later, but restore some flow values to reduce the* sequence analysis warnings if our capture file is missing a RST* or FIN segment that was present on the network.** XXX - Is this affected by MPTCP which can use multiple SYNs?*/if (tcpd != NULL  && (tcph->th_flags & (TH_SYN|TH_ACK)) == TH_SYN) {if (tcpd->fwd->static_flags & TCP_S_BASE_SEQ_SET) {if(tcph->th_seq!=tcpd->fwd->base_seq || (tcpd->conversation_completeness & TCP_COMPLETENESS_RST) || (tcpd->conversation_completeness & TCP_COMPLETENESS_FIN)) {if (!(pinfo->fd->visited)) {conv=conversation_new(pinfo->num, &pinfo->src, &pinfo->dst, CONVERSATION_TCP, pinfo->srcport, pinfo->destport, 0);tcpd=get_tcp_conversation_data(conv,pinfo);if(!tcpd->ta)tcp_analyze_get_acked_struct(pinfo->num, tcph->th_seq, tcph->th_ack, TRUE, tcpd);tcpd->ta->flags|=TCP_A_REUSED_PORTS;/* As above, a new conversation starting with a SYN implies conversation completeness value 1 */conversation_is_new = TRUE;}} else {if (!(pinfo->fd->visited)) {/** Sometimes we need to restore the nextseq value.* As stated in RFC 793 3.4 a RST packet might be* sent with SEQ being equal to the ACK received,* thus breaking our flow monitoring. (issue 17616)*/if(tcp_analyze_seq && tcpd->fwd->tcp_analyze_seq_info) {tcpd->fwd->tcp_analyze_seq_info->nextseq = tcpd->fwd->tcp_analyze_seq_info->maxseqtobeacked;}if(!tcpd->ta)tcp_analyze_get_acked_struct(pinfo->num, tcph->th_seq, tcph->th_ack, TRUE, tcpd);}}}else {/** TCP_S_BASE_SEQ_SET being not set, we are dealing with a new conversation,* either created ad hoc above (general case), or by a higher protocol such as FTP.* Track this information, as the Completeness value will be initialized later.* See issue 19092.*/if (!(pinfo->fd->visited))conversation_is_new = TRUE;}tcpd->had_acc_ecn_setup_syn = (tcph->th_flags & (TH_AE|TH_CWR|TH_ECE)) == (TH_AE|TH_CWR|TH_ECE);}/* If this is a SYN/ACK packet, then check if its seq-nr is different* from the base_seq of the retrieved conversation. If this is the* case, set the TA_PORTS_REUSED flag and override the base seq.* (XXX: Should this create a new conversation, as above with a* SYN packet? We might have received the new connection's SYN/ACK before* the SYN packet, or the SYN might be missing from the capture file.)* If the seq-nr is the same as the base_seq, then do nothing so it* will be marked as a retransmission later.* XXX - Is this affected by MPTCP which can use multiple SYNs?*/if (tcpd != NULL && (tcph->th_flags & (TH_SYN|TH_ACK)) == (TH_SYN|TH_ACK)) {if ((tcpd->fwd->static_flags & TCP_S_BASE_SEQ_SET) &&(tcph->th_seq != tcpd->fwd->base_seq)) {/* the retrieved conversation might have a different base_seq (issue 16944) *//* XXX: Shouldn't this create a new conversation? Changing the* base_seq will change how the previous packets in the conversation* are processed in the second pass.*/tcpd->fwd->base_seq = tcph->th_seq;if(!tcpd->ta)tcp_analyze_get_acked_struct(pinfo->num, tcph->th_seq, tcph->th_ack, TRUE, tcpd);tcpd->ta->flags|=TCP_A_REUSED_PORTS;}tcpd->had_acc_ecn_setup_syn_ack = ((tcph->th_flags & (TH_AE|TH_CWR)) == TH_CWR) ||((tcph->th_flags & (TH_AE|TH_ECE)) == TH_AE);}

Packetdrill 示例

首先可以通过 packetdrill 模拟出一次正常的 TCP 三次握手现象,同时经 tcpdump 捕获数据包后,得到 tcp_port_number_reused.pcap 数据包文件。

# cat tcp_port_number_reused.pkt 
0   socket(..., SOCK_STREAM, IPPROTO_TCP) = 3
+0  setsockopt(3, SOL_SOCKET, SO_REUSEADDR, [1], 4) = 0
+0  bind(3, ..., ...) = 0
+0  listen(3, 1) = 0+0  < S 0:0(0) win 10000 <mss 1460>
+0  > S. 0:0(0) ack 1 <...>
+0.01 < . 1:1(0) ack 1 win 10000
+0 accept(3, ..., ...) = 4
# 

通过 editcap 和 mergecap 对 pcap 文件做一定加工,复制出来一份之后再合并,最后得到 tcp_port_number_reused.pcapng 数据包文件。

editcap -t 0.1 tcp_port_number_reused.pcap tcp_port_number_reused_01.pcapmergecap -w tcp_port_number_reused.pcapng tcp_port_number_reused.pcap tcp_port_number_reused_01.pcap

经 Wireshark 展示如下,可以看到 No.6 SYN 与之前 TCP 会话保持一样(源/目的 IP、源/目的端口),且之前 TCP 会话存在 FIN/RST,则 No.6 标识成 [TCP Port numbers reused]

image.png

实例

关于 TCP Port numbers reused 的实例,实际上来说在客户端源端口不断变化的情况下,该现象并不是很常见,或者说就是看到了相关现象,也不是什么大问题,只是个 TCP 端口重用提示,并没有任何问题,仅仅是 Note 级别,信息为:[Expert Info (Note/Sequence): A new tcp session is started with the same ports as an earlier session in this trace]

image.png

可能出现的场景,一是短时间客户端以固定源端口进行连接,但不断被服务器端 RST 或者客户端自身 RST 的情形,二是长时间捕获或者数据包很多时,客户端以同样的源端口又发起一次新连接,像是一些压测场景,再就是等等其他场景。

  1. 短时间重复 RST

以下是一个短时间重复 SYN RST 的场景,TCP Stream 6 发起 TCP 三次握手,但被服务器直接 RST 拒绝,之后间隔了 500ms,客户端又发起一个相同 TCP 源端口 52744 的新连接,但同样被服务器直接 RST 拒绝,之后不断反复,相同的 SYN 都会标识成 [TCP Port numbers reuserd] ,这种场景下找服务器 RST 连接的真实原因即可,[TCP Port numbers reuserd] 仅仅是不断发起 SYN 相同连接的提示而已。

image.png

再看一种短时间重复 SYN/ACK RST 的场景,相对来说更加少见,但总还是有的不是嘛~

image.png

  1. 长时间捕获重复 SYN

以下是一个长时间捕获的场景,TCP Stream 24 正常完成 TCP 三次握手、数据传输以及 TCP 四次挥手过程,再经过 2 个多小时的长期间捕获,客户端又发起一个相同 TCP 源端口 2266 的新连接,此时 No.48015 SYN 会标识成 [TCP Port numbers reuserd] ,这种场景下并没有任何问题,属于正常现象。

image.png

  1. 重复 SYN/ACK

以下介绍一个针对 SYN/ACK 重复以及设置 [TCP Port numbers reuserd] 的场景,也就是上面所说和官方文档说明不一致的地方,但是与代码一致。

首先是一个正常的捕获场景,No.1-2 为一次会话,No.3-4 为一次会话,其中 No.3 标记为 [TCP Port numbers reuserd],紧接着 No.5-16 为一次会话,其中 No.5 标记为 [TCP Port numbers reuserd]

image.png

如果此时出现了 No.5 SYN 未被捕获到的场景(这里可以通过 ignore 该数据包模拟实现),你会发现此时 No.6 SYN/ACK 标识成了 [TCP Port numbers reuserd],也就是上述 SYN/ACK 代码部分所实现的判断逻辑。而 No.5 SYN 刚好未被捕获到的这种情形,你只能说极其少见,但确实不能完全排除,只能感慨,暗叹一句 Wireshark 牛批~

image.png

  1. 重复 SYN/ACK 的特例

也是在实验过程当中,发现了一个重复 SYN/ACK 的特别例子,首先基于以下数据包场景,正常两次会话,No.4 SYN 产生一次 [TCP Port numbers reuserd]

image.png

如果此时出现了 No.4 SYN 未被捕获到的场景(这里可以通过 ignore 该数据包模拟实现),你会发现此时不仅 No.5 SYN/ACK 标识成了 [TCP Port numbers reuserd],就连先前 No.2 SYN/ACK 也标识成了 [TCP Port numbers reuserd],对于 No.2 这里所发生的情况百思不得其解。。。

image.png

甚至还有如下情形的,没有 RST 的情形,也会出现 [TCP Port numbers reuserd]

image.png

待续,已提交 Issue,官方开发者确认为 Bug,静待修复。
补充:以上基于版本 4.2.x 测试,目前最新版本 4.4.0 已经解决。

总结

总结来说,以上体现了 Wireshark 代码在处理复杂 TCP 场景时的细致程度,明确区分了新老连接的不同情况。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/420007.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【AI绘画】Midjourney光影控制详解

博客主页&#xff1a; [小ᶻZ࿆] 本文专栏: AI绘画 | Midjourney 文章目录 &#x1f4af;前言&#x1f4af;为什么要学习光影控制光影控制的作用 &#x1f4af;强化主题hard lighting&#xff08;硬光 &#xff09;soft lighting&#xff08;软光/柔光&#xff09;测试 &…

【Java 输入流详解:局部与全局定义及资源管理】

Java 输入流详解&#xff1a;局部与全局定义及资源管理 在Java编程中&#xff0c;输入流&#xff08;如Scanner类&#xff09;是读取用户输入的常用方式。通过Scanner&#xff0c;可以方便地读取不同类型的数据&#xff0c;比如整数、字符串等。作为基于输入流的工具&#xff0…

【非零段划分 / 2】

题目 思路 第一种思路&#xff1a;按照表面题意&#xff0c;枚举p&#xff0c;处理数组后进行计数&#xff1a; 复杂度 ∈ O ( n ⋅ m ) 复杂度 \in O(n \cdot m) 复杂度∈O(n⋅m) 第二种思路&#xff1a;把数组看成一个二维的山形图&#xff0c;先将相邻的水平线段转化成点…

一区霜冰算法+双向深度学习模型+注意力机制!RIME-BiTCN-BiGRU-Attention

一区霜冰算法双向深度学习模型注意力机制&#xff01;RIME-BiTCN-BiGRU-Attention 目录 一区霜冰算法双向深度学习模型注意力机制&#xff01;RIME-BiTCN-BiGRU-Attention效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.Matlab实现RIME-BiTCN-BiGRU-Attention霜冰算法…

如何本地搭建Whisper语音识别模型

要在本地搭建Whisper语音识别模型&#xff0c;您需要以下几个步骤&#xff1a; 步骤一&#xff1a;系统准备 操作系统: 建议使用Ubuntu 20.04或以上版本&#xff0c;确保系统足够稳定和兼容。硬件配置: 最好有一个强大的GPU&#xff0c;因为语音识别涉及大量的计算工作。推荐…

828华为云征文|华为云Flexus X实例部署k3s与kuboard图形化管理工具

828华为云征文&#xff5c;华为云Flexus X实例部署k3s与kuboard图形化管理工具 华为云最近正在举办828 B2B企业节&#xff0c;Flexus X实例的促销力度非常大&#xff0c;特别适合那些对算力性能有高要求的小伙伴。如果你有自建MySQL、Redis、Nginx等服务的需求&#xff0c;一定…

算法工程师重生之第二天(长度最小的子数组 螺旋矩阵II 区间和 开发商购买土地 总结 )

参考文献 代码随想录 一、长度最小的子数组 给定一个含有 n 个正整数的数组和一个正整数 target 。 找出该数组中满足其总和大于等于 target 的长度最小的 子数组 [numsl, numsl1, ..., numsr-1, numsr] &#xff0c;并返回其长度。如果不存在符合条件的子数组&#xff0c…

全网最适合入门的面向对象编程教程:46 Python函数方法与接口-函数与事件驱动框架

全网最适合入门的面向对象编程教程&#xff1a;46 Python 函数方法与接口-函数与事件驱动框架 摘要&#xff1a; 函数是 Python 中的一等公民,是一种可重用的代码块,用于封装特定的逻辑&#xff1b;事件驱动框架是一种编程模式&#xff0c;它将程序的控制流转移给外部事件,如用…

ssm微信小程序校园失物招领论文源码调试讲解

第二章 开发技术与环境配置 以Java语言为开发工具&#xff0c;利用了当前先进的SSM框架&#xff0c;以MyEclipse10为系统开发工具&#xff0c;MySQL为后台数据库&#xff0c;开发的一个微信小程序校园失物招领。 2.1 Java语言简介 Java是由SUN公司推出&#xff0c;该公司于20…

若依框架使用MyBatis-Plus中的baseMapper的方法报错Invalid bound statement (not found):

Invalid bound statement (not found): com.ruoyi.system.mapper.hc.HcOrderMapper.selectList 解决方法 MybatisSqlSessionFactoryBean sessionFactory new MybatisSqlSessionFactoryBean(); 使用 MybatisSqlSessionFactoryBean 而非 SqlSessionFactoryBean 的原因 MyBatis-…

Elasticsearch数据写入过程

1. 写入请求 当一个写入请求&#xff08;如 Index、Update 或 Delete 请求&#xff09;通过REST API发送到Elasticsearch时&#xff0c;通常包含一个文档的内容&#xff0c;以及该文档的索引和ID。 2. 请求路由 协调节点&#xff1a;首先&#xff0c;请求会到达一个协调节点…

1分钟教你用AI制作美女热舞视频,收益可观,操作简单(附工具及教程资料)

美女跳舞&#xff0c;听着是不是就觉得会很哇塞&#xff1f; 不管是男的女的、老的少的都喜欢看&#xff0c;而且一般美女跳舞的账号涨粉都很快&#xff0c;势头都贼猛。 今天就给大家分享一个很热门的小副业——AI美女跳舞。 更多实操和AI绘画工具&#xff0c;可以扫描下方&…

新能源动力组中预充电路及电阻选型分析

新能源动力组中预充电路及电阻选型分析 1.概述2.预充电路与预充电阻3.预充电阻参数选择4.实例分析 1.概述 最近几年&#xff0c;新能源行业在中国得到迅猛发展。由于其高效、节能、低噪声、无污染等特点&#xff0c;它已成为国内工业发展的新趋势包括汽车和飞机。虽然应用在新…

地瓜直播间 | 基于X5平台智能双目深度算法详解

你是否曾经好奇过&#xff0c;机器是如何像人类一样通过双眼来感知三维世界的&#xff1f;双目深度感知技术&#xff0c;是一种模拟人类双眼视觉的高级技术&#xff0c;通过两个摄像头捕捉同一场景的不同视角&#xff0c;深度学习算法能够计算出物体的深度信息&#xff0c;从而…

PX4软/硬件(SITL/HITL)在环仿真

文章目录 介绍依赖PX4 Firmware&#xff1a; 软件在环(SITL)仿真Gazebo 软件无人机STIL连接简要示意SITL SLAM仿真总结示例 HITL 仿真 pxh常用命令MAVLink 指令使用这些命令时的注意事项 参考链接 介绍 为https://blog.csdn.net/weixin_41469272/article/details/117919845的补…

东南亚电商新蓝海:深度解析东南亚服务器租用的战略价值

在全球化日益加深的今天&#xff0c;东南亚以其独特的市场潜力和对数字化技术的积极拥抱&#xff0c;成为了跨境电商及互联网企业竞相角逐的热土。随着东南亚地区经济的快速增长和人口红利的持续释放&#xff0c;电商市场的繁荣景象尤为引人注目。然而&#xff0c;要在这一竞争…

【Linux系统编程】TCP实现--socket

使用套接字socket实现服务器和客户端之间的TCP通信。 流程如下&#xff1a; 实现代码&#xff1a; /* server.c */ #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h> #include <arpa/inet.h> #include <s…

【C++笔记】类和对象的深入理解(一)

【C笔记】类和对象的深入理解(一) &#x1f525;个人主页&#xff1a;大白的编程日记 &#x1f525;专栏&#xff1a;C笔记 文章目录 【C笔记】类和对象的深入理解(一)前言一.类的定义1.1类定义格式1.2访问限定符1.3类域 二.实例化2.1 实例化概念2.2对象大小 三.this指针四.练…

[A-09]ARMv8/ARMv9-Memory-内存空间(Address Spaces and Translation Regimes)

ver 0.2 更多精彩内容&#xff0c;请关注公众号 前言 任何人和组织的发展都需要空间&#xff0c;比如我们这个伟大的国家&#xff0c;幅员辽阔、大好河山决定了我们的发展潜力。这么大国土空间&#xff0c;不是随意无须的在发展&#xff0c;都是处于主动的规划(有形的手)或者…

【计网】计算机网络基础

当自律变成一种本能的习惯&#xff0c; 你就会享受到它的快乐。 --- 村上春树 --- 初识计算机网络 1 初识协议1.1 协议分层1.2 OSI七层模型1.3 TCP / IP协议 2 初识局域网2.1 什么是局域网2.2 MAC地址2.3 局域网通信 3 简单认识IP地址 1 初识协议 1.1 协议分层 首先&#…