Repeat ACK 是攻击?还是其他?
Repeat ACK.cap 是捕获的包,IPID 64150.cap 是过滤过滤了 IPID为64150的包。
cap文件在防火墙的LAN端口捕获。
两分钟产生的19194个IPID相同的数据包,是攻击?还是其他设备故障?
[[i] 本帖最后由 win_study 于 2007-6-18 08:55 编辑 [/i]] 不紧紧是IPID 64150是重复的ack 几乎所有来自server 218.102.23.37的ack都是多次重复的,虽然每次重复的ack间隔时间都很小但是两分钟产生的19194个IPID相同的数据包似乎是攻击的可能性小了点。是否存在环路? 我内部的环路是不可能的,要环也是电信线路环了^_^
Router-----FireWALL------Switch的简单结构,把FireWALL的LAN口断掉,FireWALL还在不停报警,并且TTL也没有递减,好像不是环的现象。
今天的情况有所好转,但发HK的Email还是很卡。
[[i] 本帖最后由 win_study 于 2007-6-15 16:44 编辑 [/i]] 我内部的环路是不可能的,要环也是电信线路环了 感觉既不是攻击 也不是环路 除非是有意设置了路由信息欺骗
楼主没有说明捕获数据包时的设置 以及网络设备信息
单从发上来的过滤了的trace来看 只能靠推测了
是不是防火墙上绑定了ip地址和MAC
而实际网络中host并没有对应
还有 是否手动设置了路由
不过 trace问题怎么看起来设置有些像负载均衡设备的问题
另外,故障端口是常见端口25
是不是邮件服务器设置有问题
.....
这个小图片可能能提醒你 三层交换机分了VLAN,10.1.8.23和Sonic0CB630分别属于不同的Vlan,218.102.23.37是HK电信盈科的Email Server,防火墙上没有绑定了ip地址和MAC,是在一直运行正常,没动过任何邮件及网络配置的情况下,出现了异常。 你网络中的所有主机都是这样吗?我看好像是客户端有问题,它的Windows=0 所以复位了连接请求。不知对不对???
再一点你是不是开着发包的东西呢?把抓包软件关一下试试!
[[i] 本帖最后由 jerry9924 于 2007-6-21 06:24 编辑 [/i]]
页:
[1]