TCP Analysis Flags 之 TCP Port numbers reused

news2024/11/15 14:08:17

前言

默认情况下,Wireshark 的 TCP 解析器会跟踪每个 TCP 会话的状态,并在检测到问题或潜在问题时提供额外的信息。在第一次打开捕获文件时,会对每个 TCP 数据包进行一次分析,数据包按照它们在数据包列表中出现的顺序进行处理。可以通过 “Analyze TCP sequence numbers” TCP 解析首选项启用或禁用此功能。

TCP 分析展示

在数据包文件中进行 TCP 分析时,关于 “TCP Port numbers reused” 一般是如下显示的,包括:

  1. Packet List 窗口中的 Info 信息列,以 [TCP Port numbers reused] 黑底红字进行标注;
  2. Packet Details 窗口中的 TCP 协议树下,在 [SEQ/ACK analysis] -> [TCP Analysis Flags] 中定义该 TCP 数据包的分析说明。

image.png

TCP Port numbers reused 定义

实际在 TCP 分析中,关于 TCP Port numbers reused 的定义非常简单,如下,针对 SYN 数据包(而不是SYN+ACK),如果已经有一个使用相同 IP+Port 的会话,并且这个 SYN 的序列号与已有会话的 ISN 不同时设置。

Set when the SYN flag is set (not SYN+ACK), we have an existing conversation using the same addresses and ports, and the sequence number is different than the existing conversation’s initial sequence number.

注意:官方文档此处说明的是 SYN,而非 SYN/ACK,和实际代码实现的却不一样,下述展开说明。

具体的代码如下,主要作用是处理 SYN 以及 SYN/ACK 数据包,判断是新连接还是已有连接的重传,并相应地创建新会话或更新会话的序列号等,并设置相关标志位。总的来说,这是 Wireshark 分析 TCP 流量时处理 SYN 和 SYN/ACK 数据包的一个重要环节,用于正确识别连接和更新状态信息。

    /* If this is a SYN packet, then check if its seq-nr is different
     * from the base_seq of the retrieved conversation. If this is the
     * case, create a new conversation with the same addresses and ports
     * and set the TA_PORTS_REUSED flag. (XXX: There is a small chance
     * that this is an old duplicate SYN received after the connection
     * is ESTABLISHED on both sides, the other side will respond with
     * an appropriate ACK, and this SYN ought to be ignored rather than
     * create a new conversation.)
     *
     * If the seq-nr is the same as the base_seq, it might be a simple
     * retransmission, reattempting a handshake that was reset (due
     * to a half-open connection) with the same sequence number, or
     * (unlikely) a new connection that happens to use the same sequence
     * number as the previous one.
     *
     * If we have received a RST or FIN on the retrieved conversation,
     * create a new conversation in order to clear out the follow info,
     * sequence analysis, desegmentation, etc.
     * If not, it's probably a retransmission, and will be marked
     * as one later, but restore some flow values to reduce the
     * sequence analysis warnings if our capture file is missing a RST
     * or FIN segment that was present on the network.
     *
     * XXX - Is this affected by MPTCP which can use multiple SYNs?
     */
    if (tcpd != NULL  && (tcph->th_flags & (TH_SYN|TH_ACK)) == TH_SYN) {
        if (tcpd->fwd->static_flags & TCP_S_BASE_SEQ_SET) {
            if(tcph->th_seq!=tcpd->fwd->base_seq || (tcpd->conversation_completeness & TCP_COMPLETENESS_RST) || (tcpd->conversation_completeness & TCP_COMPLETENESS_FIN)) {
                if (!(pinfo->fd->visited)) {

                    conv=conversation_new(pinfo->num, &pinfo->src, &pinfo->dst, CONVERSATION_TCP, pinfo->srcport, pinfo->destport, 0);
                    tcpd=get_tcp_conversation_data(conv,pinfo);

                    if(!tcpd->ta)
                        tcp_analyze_get_acked_struct(pinfo->num, tcph->th_seq, tcph->th_ack, TRUE, tcpd);
                    tcpd->ta->flags|=TCP_A_REUSED_PORTS;

                    /* As above, a new conversation starting with a SYN implies conversation completeness value 1 */
                    conversation_is_new = TRUE;
                }
            } else {
                if (!(pinfo->fd->visited)) {
                    /*
                     * Sometimes we need to restore the nextseq value.
                     * As stated in RFC 793 3.4 a RST packet might be
                     * sent with SEQ being equal to the ACK received,
                     * thus breaking our flow monitoring. (issue 17616)
                     */
                    if(tcp_analyze_seq && tcpd->fwd->tcp_analyze_seq_info) {
                        tcpd->fwd->tcp_analyze_seq_info->nextseq = tcpd->fwd->tcp_analyze_seq_info->maxseqtobeacked;
                    }

                    if(!tcpd->ta)
                        tcp_analyze_get_acked_struct(pinfo->num, tcph->th_seq, tcph->th_ack, TRUE, tcpd);
                }
            }
        }
        else {
            /*
             * TCP_S_BASE_SEQ_SET being not set, we are dealing with a new conversation,
             * either created ad hoc above (general case), or by a higher protocol such as FTP.
             * Track this information, as the Completeness value will be initialized later.
             * See issue 19092.
             */
            if (!(pinfo->fd->visited))
                conversation_is_new = TRUE;
        }
        tcpd->had_acc_ecn_setup_syn = (tcph->th_flags & (TH_AE|TH_CWR|TH_ECE)) == (TH_AE|TH_CWR|TH_ECE);
    }

    /* If this is a SYN/ACK packet, then check if its seq-nr is different
     * from the base_seq of the retrieved conversation. If this is the
     * case, set the TA_PORTS_REUSED flag and override the base seq.
     * (XXX: Should this create a new conversation, as above with a
     * SYN packet? We might have received the new connection's SYN/ACK before
     * the SYN packet, or the SYN might be missing from the capture file.)
     * If the seq-nr is the same as the base_seq, then do nothing so it
     * will be marked as a retransmission later.
     * XXX - Is this affected by MPTCP which can use multiple SYNs?
     */
    if (tcpd != NULL && (tcph->th_flags & (TH_SYN|TH_ACK)) == (TH_SYN|TH_ACK)) {
        if ((tcpd->fwd->static_flags & TCP_S_BASE_SEQ_SET) &&
            (tcph->th_seq != tcpd->fwd->base_seq)) {

            /* the retrieved conversation might have a different base_seq (issue 16944) */
            /* XXX: Shouldn't this create a new conversation? Changing the
             * base_seq will change how the previous packets in the conversation
             * are processed in the second pass.
             */
            tcpd->fwd->base_seq = tcph->th_seq;

            if(!tcpd->ta)
                tcp_analyze_get_acked_struct(pinfo->num, tcph->th_seq, tcph->th_ack, TRUE, tcpd);
            tcpd->ta->flags|=TCP_A_REUSED_PORTS;
        }
        tcpd->had_acc_ecn_setup_syn_ack = ((tcph->th_flags & (TH_AE|TH_CWR)) == TH_CWR) ||
                                          ((tcph->th_flags & (TH_AE|TH_ECE)) == TH_AE);
    }

Packetdrill 示例

首先可以通过 packetdrill 模拟出一次正常的 TCP 三次握手现象,同时经 tcpdump 捕获数据包后,得到 tcp_port_number_reused.pcap 数据包文件。

# cat tcp_port_number_reused.pkt 
0   socket(..., SOCK_STREAM, IPPROTO_TCP) = 3
+0  setsockopt(3, SOL_SOCKET, SO_REUSEADDR, [1], 4) = 0
+0  bind(3, ..., ...) = 0
+0  listen(3, 1) = 0

+0  < S 0:0(0) win 10000 <mss 1460>
+0  > S. 0:0(0) ack 1 <...>
+0.01 < . 1:1(0) ack 1 win 10000
+0 accept(3, ..., ...) = 4
# 

通过 editcap 和 mergecap 对 pcap 文件做一定加工,复制出来一份之后再合并,最后得到 tcp_port_number_reused.pcapng 数据包文件。

editcap -t 0.1 tcp_port_number_reused.pcap tcp_port_number_reused_01.pcap

mergecap -w tcp_port_number_reused.pcapng tcp_port_number_reused.pcap tcp_port_number_reused_01.pcap

经 Wireshark 展示如下,可以看到 No.6 SYN 与之前 TCP 会话保持一样(源/目的 IP、源/目的端口),且之前 TCP 会话存在 FIN/RST,则 No.6 标识成 [TCP Port numbers reused]

image.png

实例

关于 TCP Port numbers reused 的实例,实际上来说在客户端源端口不断变化的情况下,该现象并不是很常见,或者说就是看到了相关现象,也不是什么大问题,只是个 TCP 端口重用提示,并没有任何问题,仅仅是 Note 级别,信息为:[Expert Info (Note/Sequence): A new tcp session is started with the same ports as an earlier session in this trace]

image.png

可能出现的场景,一是短时间客户端以固定源端口进行连接,但不断被服务器端 RST 或者客户端自身 RST 的情形,二是长时间捕获或者数据包很多时,客户端以同样的源端口又发起一次新连接,像是一些压测场景,再就是等等其他场景。

  1. 短时间重复 RST

以下是一个短时间重复 SYN RST 的场景,TCP Stream 6 发起 TCP 三次握手,但被服务器直接 RST 拒绝,之后间隔了 500ms,客户端又发起一个相同 TCP 源端口 52744 的新连接,但同样被服务器直接 RST 拒绝,之后不断反复,相同的 SYN 都会标识成 [TCP Port numbers reuserd] ,这种场景下找服务器 RST 连接的真实原因即可,[TCP Port numbers reuserd] 仅仅是不断发起 SYN 相同连接的提示而已。

image.png

再看一种短时间重复 SYN/ACK RST 的场景,相对来说更加少见,但总还是有的不是嘛~

image.png

  1. 长时间捕获重复 SYN

以下是一个长时间捕获的场景,TCP Stream 24 正常完成 TCP 三次握手、数据传输以及 TCP 四次挥手过程,再经过 2 个多小时的长期间捕获,客户端又发起一个相同 TCP 源端口 2266 的新连接,此时 No.48015 SYN 会标识成 [TCP Port numbers reuserd] ,这种场景下并没有任何问题,属于正常现象。

image.png

  1. 重复 SYN/ACK

以下介绍一个针对 SYN/ACK 重复以及设置 [TCP Port numbers reuserd] 的场景,也就是上面所说和官方文档说明不一致的地方,但是与代码一致。

首先是一个正常的捕获场景,No.1-2 为一次会话,No.3-4 为一次会话,其中 No.3 标记为 [TCP Port numbers reuserd],紧接着 No.5-16 为一次会话,其中 No.5 标记为 [TCP Port numbers reuserd]

image.png

如果此时出现了 No.5 SYN 未被捕获到的场景(这里可以通过 ignore 该数据包模拟实现),你会发现此时 No.6 SYN/ACK 标识成了 [TCP Port numbers reuserd],也就是上述 SYN/ACK 代码部分所实现的判断逻辑。而 No.5 SYN 刚好未被捕获到的这种情形,你只能说极其少见,但确实不能完全排除,只能感慨,暗叹一句 Wireshark 牛批~

image.png

  1. 重复 SYN/ACK 的特例

也是在实验过程当中,发现了一个重复 SYN/ACK 的特别例子,首先基于以下数据包场景,正常两次会话,No.4 SYN 产生一次 [TCP Port numbers reuserd]

image.png

如果此时出现了 No.4 SYN 未被捕获到的场景(这里可以通过 ignore 该数据包模拟实现),你会发现此时不仅 No.5 SYN/ACK 标识成了 [TCP Port numbers reuserd],就连先前 No.2 SYN/ACK 也标识成了 [TCP Port numbers reuserd],对于 No.2 这里所发生的情况百思不得其解。。。

image.png

甚至还有如下情形的,没有 RST 的情形,也会出现 [TCP Port numbers reuserd]

image.png

待续,已提交 Issue,官方开发者确认为 Bug,静待修复。
补充:以上基于版本 4.2.x 测试,目前最新版本 4.4.0 已经解决。

总结

总结来说,以上体现了 Wireshark 代码在处理复杂 TCP 场景时的细致程度,明确区分了新老连接的不同情况。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2115529.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

分库分表核心理念

文章目录 分库&#xff0c;分表&#xff0c;分库分表什么时候分库&#xff1f;什么时候分表&#xff1f;什么时候既分库又分表&#xff1f;横向拆分 & 纵向拆分 分表算法Range 范围Hash 取模一致性 Hash斐波那契散列 严格雪崩标准&#xff08;SAC&#xff09;订单分库分表实…

外卖会员卡项目骗局揭秘,你还在做梦吗?改醒醒了

大家好&#xff0c;我是鲸天科技千千&#xff0c;大家都知道我是做开发的&#xff0c;做互联网行业很多年了&#xff0c;平时会在这里给大家分享一些互联网相关的小技巧和小项目&#xff0c;感兴趣的给我点个关注。 关于外卖会员卡这个项目的一些骗局和套路&#xff0c;我真的…

DNS64/NAT64 Networks(解决苹果公司IPv6审核被拒)

本人亲测有效&#xff0c;参考下面文章&#xff1a; https://www.cnblogs.com/zhouyi-ios/p/6945471.html 摘抄文章中的DNS64/NAT64原理 1、蜂窝网络单独提供IPv4和IPv6连接。 2、DNS64/NAT64转换工作流 理想的是&#xff0c;提供商放弃支持IPv4网络&#xff0c;然而这样阻…

利用matlab bar函数绘制较为复杂的柱状图,并在图中进行适当标注

示例代码和结果如下&#xff1a;小疑问&#xff1a;如何自动选择合适的坐标位置对柱状图的数值大小进行标注&#xff1f;&#x1f602; clear; close all; x 1:3; aa[28.6321521955954 26.2453660695847 21.6910234851208 6.93747104431360 6.25442246899816 3.342835958564…

开源链动 2+1 模式、AI 智能名片与 S2B2C 商城小程序:打破行业界限的泛零售生态业态融合与创新

摘要&#xff1a;本文深入探讨了中国泛零售生态中线下业态融合的现象&#xff0c;阐述了多业融合在其中的意义。同时&#xff0c;分析了这种融合趋势的发展方向&#xff0c;并重点探讨了开源链动 2 1 模式、AI 智能名片以及 S2B2C 商城小程序在促进多业融合方面的作用&#xf…

c/c++面试100道

1.一道笔试题解析_哔哩哔哩_bilibili P20&#xff1a;#define offsetof(TYPE, MEMBER) ((size_t)&((TYPE*)0)->MEMBER) 1、 offsetof 宏是 C 语言中用于计算结构体成员相对于结构体起始地址的偏移量的宏定义。这个宏的定义如下&#xff1a; #define offsetof(TYPE, …

可测试,可维护,可移植:上位机软件分层设计的重要性

互联网中&#xff0c;软件工程师岗位会分前端工程师&#xff0c;后端工程师。这是由于互联网软件规模庞大&#xff0c;从业人员众多。前后端分别根据各自需求发展不一样的技术栈。那么上位机软件呢&#xff1f;它规模小&#xff0c;通常一个人就能开发一个项目。它还有必要分前…

【微处理器系统原理与应用设计第九讲】GPIO之按键控灯功能——按键控制灯进行亮灭转换的应用设计与程序分析

一、基础知识与明确 1、GPIO的有效电平 由按键结构决定&#xff0c;按键按下时输入为低电平&#xff0c;按键悬空时为输入为高电平&#xff0c;按键的输入给到GPIO的引脚&#xff08;例如PC13&#xff09; 2、条件控制语句 if(a)&#xff1a;如果a为非0数字或字符那么就为真…

java使用jfreechart生成图表

java使用jfreechart生成图表 java使用jfreechart生成图表创建java项目创建图表类SerieCharts 测试效果柱状图折线图 java使用jfreechart生成图表 需求背景&#xff0c;公司有一个产品的外网体验地址&#xff0c;需要做一些数据监控&#xff0c;比如日活量、访问量等。因此需要生…

爆改YOLOv8|利用特征融合网络FFA-Net改进YOLOv8-模糊图片检测

1&#xff0c;本文介绍 FFA-Net&#xff08;Feature Fusion Attention Network&#xff09;主要用于图像去雾任务&#xff0c;其核心思想是通过特征融合注意力网络直接恢复无雾图像。它的架构包括以下三个关键组件&#xff1a; 特征注意力&#xff08;Feature Attention, FA&a…

3280. 将日期转换为二进制表示

目录 一&#xff1a;题目&#xff1a; 二&#xff1a;代码&#xff1a; 三&#xff1a;结果 一&#xff1a;题目&#xff1a; 给你一个字符串 date&#xff0c;它的格式为 yyyy-mm-dd&#xff0c;表示一个公历日期。 date 可以重写为二进制表示&#xff0c;只需要将年、月…

android系统源码12 修改默认桌面壁纸--SRO方式

1、aosp12修改默认桌面壁纸 代码路径 &#xff1a;frameworks\base\core\res\res\drawable-nodpi 替换成自己的图片即可&#xff0c;不过需要覆盖所有目录下的图片。 由于是静态修改&#xff0c;则需要make一下&#xff0c;重新编译。 2、方法二Overlay方式 由于上述方法有…

浅谈架构实战

目录 背景 1 架构演变 2 如何实现高层的复用 2 中台产生案例 3 技术架构的核心要点 4 技术架构的高可用案例 背景 业务架构、数据架构、应用架构和技术架构它们是相互关联和相互支持的&#xff0c;共同构成了企业的总体架构&#xff0c;业务架构是源头&#xff0c;然后才…

Java 中常用内置接口函数

在 Java 8 及以后的版本中&#xff0c;引入了许多函数式编程的特性&#xff0c;其中最重要的就是内置的函数式接口。这些接口使得编写更简洁、可读性更强的代码成为可能。今天我将介绍四个常用的内置接口&#xff1a;Predicate、Function、Consumer 和 Supplier&#xff0c;并提…

Unity数据持久化 之 一个通过2进制读取Excel并存储的轮子(4)

本文仅作笔记学习和分享&#xff0c;不用做任何商业用途 本文包括但不限于unity官方手册&#xff0c;unity唐老狮等教程知识&#xff0c;如有不足还请斧正​​ Unity数据持久化 之 一个通过2进制读取Excel并存储的轮子(3)-CSDN博客 这节就是真正的存储数据了 理清一下思路&am…

SprinBoot+Vue漫画天堂网的设计与实现

目录 1 项目介绍2 项目截图3 核心代码3.1 Controller3.2 Service3.3 Dao3.4 application.yml3.5 SpringbootApplication3.5 Vue 4 数据库表设计5 文档参考6 计算机毕设选题推荐7 源码获取 1 项目介绍 博主个人介绍&#xff1a;CSDN认证博客专家&#xff0c;CSDN平台Java领域优质…

0x06 记录一次挖src的经历(xss漏洞)

漏洞平台&#xff1a;补天 - 企业和白帽子共赢的漏洞响应平台&#xff0c;帮助企业建立SRC 个人总结的挖洞流程&#xff1a; 1&#xff09;先用工具信息收集一波 我这里先用灯塔收集一下目标资产 2&#xff09;然后用漏洞扫描工具扫描一波 我这里用Acunetix进行扫描 因为工具…

驱动(RK3588S)第九课时:多节点驱动与函数接口

目录 一、多节点概念1、所用到的结构体说明2、函数接口主要是read和write函数2.1、把应用层的数据拷贝给底层2.2、把应用层的数据拷贝给底层 3、应用层的read和write函数4、底层的read和write函数二、ioctl控制命令接口1、概念2、函数介绍应用层和驱动层 三、代码与现象1.编写L…

三相直流无刷电机(BLDC)控制算法实现:BLDC有感启动算法思路分析

一枚从事路径规划算法、运动控制算法、BLDC/FOC电机控制算法、工控、物联网工程师&#xff0c;爱吃土豆。如有需要技术交流或者需要方案帮助、需求&#xff1a;以下为联系方式—V 方案1&#xff1a;通过霍尔传感器IO中断触发换相 1.1 整体执行思路 霍尔传感器U、V、W三相通…

使用 nuxi preview 命令预览 Nuxt 应用

title: 使用 nuxi preview 命令预览 Nuxt 应用 date: 2024/9/8 updated: 2024/9/8 author: cmdragon excerpt: 摘要:本文介绍了如何使用nuxi preview命令预览Nuxt.js应用,包括安装和准备环境、启动预览服务器的步骤,以及如何指定根目录和使用自定义.env文件等高级用法。通…