Когда я просматриваю журналы, созданные для моей контрольной точки fw1, регистрируются ли соединения при получении синхронизации или дожидается завершения трехстороннего рукопожатия? Если он регистрируется после синхронизации, есть ли способ узнать, где трехстороннее рукопожатие не завершилось?
Я предполагаю, что он регистрирует, когда получает SYN, вы можете легко проверить это, просто отправив синхронизацию с помощью такого инструмента, как hping.
Если вы хотите увидеть трехстороннее рукопожатие, я бы рекомендовал использовать fw monitor
, Там есть хороший pdf об этом на сайте КПП.
Быстрый шаг - запустить что-то вроде fw monitor -e 'accept src=1.2.3.4 or dst= 1.2.3.4;'
Изменить: Конечно, это нужно делать вживую, так что это не так хорошо, как ведение журнала ...
Первоначальный журнал ставится в очередь / изначально определяется после SYN_RECV для стандартного журнала трафика без учета.
Если учет включен, счетчики журнала учета сохраняются и направляются в модуль журнала для завершения записи журнала. Полная запись журнала учета будет включать журнал начального доступа + некоторые учетные данные записанного сеанса или виртуального сеанса.