Security

FreeBSD 安全日誌 消息:“套接字關閉後收到數據”

  • January 10, 2012

我正在執行 FreeBSD 7,我在 /var/log/security 中得到了這個:

+++ /tmp/security.AIKARuA1  2009-06-30 03:05:17.000000000 +0500
+TCP: [69.147.83.36]:80 to [115.186.130.56]:50488 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.36]:80 to [115.186.130.56]:55740 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.33]:80 to [115.186.130.56]:52461 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.36]:80 to [115.186.130.56]:57401 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb

我可以從這裡推斷出,很明顯,客戶端在連接應該關閉時發送了一些數據。

這可能是我發起了一個 ssh 會話,在我不知道的情況下有一個中間人,並且在我關閉 SSH 會話後他嘗試再次連接的情況嗎?

這可能發生在一方沒有正確關閉 RST 的情況下,並且如果有足夠的延遲數據可以在一段時間後進行,甚至由於雙方都關閉後排隊。

簡而言之,關閉的數據是相當無害的,因為會話必須首先啟動才能導致這種情況,所以不用擔心。

查看源地址:$$ 69.147.83.36 $$:80。注意埠 80 - 這是一個 HTTP 流量。有人連接到您的 Web 伺服器,編寫請求,獲取數據。然後您的伺服器關閉連接,但您的客戶端不理解這一點並繼續發送請求。

這不是安全問題。這可能是伺服器配置錯誤或客戶端錯誤。

引用自:https://serverfault.com/questions/33640