TCP Dump, не можете понять эти 4 строчки?
Мне нужна поддержка, чтобы понять эти 4 строки. выглядит как дамп TCP, но я на самом деле не понимаю, что именно здесь происходит.
13:13:22.407445 IP 192.168.246.128.54955 > 192.168.246.13.80: S 2910497703:2910497703(0) win 5840 <mss 1460,sackok,timestamp="" 518611="" 0,nop,wscale="" 6="">
13:13:22.407560 IP 192.168.246.13.80 > 192.168.246.128.54955: S 3762608065:3762608065(0) ack 2910497704 win 64240 <mss 1460,nop,wscale="" 0,nop,nop,timestamp="" 0="" 0,nop,nop,sackok="">
13:13:22.407963 IP 192.168.246.128.54955 > 192.168.246.13.80: . ack 1 win 92 <nop,nop,timestamp 518611="" 0="">
13:13:22.408321 IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0) ack 1 win 92 <nop,nop,timestamp 518611="" 0="">
Похоже на клиента 192.168.246.128 пытался подключиться к веб-серверу 192.168.246.13 но размер окна клиента 92 байты были отклонены медленная атака механизм предотвращения.
РЕДАКТИРОВАТЬ после прочтения комментария @GuntramBlohm к ответу @XavierLucas я быстро проверил, как определенные сканирования nmap выглядят на проводе, и кажется, что шаблон в OP соответствует nmap -sT известный как Сканирование TCP-соединения
например корпус с открытым портом 80
# nmap -sT localhost -p80
11:06:20.734518 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [S], seq 2064268743, win 32792, options [mss 16396,sackOK,TS val 3605220739 ecr 0,nop,wscale 8], length 0
11:06:20.734540 IP 127.0.0.1.80 > 127.0.0.1.58802: Flags [S.], seq 2269627608, ack 2064268744, win 32768, options [mss 16396,sackOK,TS val 3605220739 ecr 3605220739,nop,wscale 8], length 0
11:06:20.734551 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [.], ack 1, win 129, options [nop,nop,TS val 3605220739 ecr 3605220739], length 0
11:06:20.734718 IP 127.0.0.1.58802 > 127.0.0.1.80: Flags [R.], seq 1, ack 1, win 129, options [nop,nop,TS val 3605220739 ecr 3605220739], length 0
корпус с закрытым портом 80
# nmap -sT localhost -p80
12:18:07.737075 IP 127.0.0.1.58294 > 127.0.0.1.80: Flags [S], seq 2548091563, win 32792, options [mss 16396,sackOK,TS val 672612170 ecr 0,nop,wscale 7], length 0
12:18:07.737085 IP 127.0.0.1.80 > 127.0.0.1.58294: Flags [R.], seq 0, ack 2548091564, win 0, length 0
КОНЕЦ РЕДАКТИРОВАНИЯ оригинальная интерпретация вывода tcpdump
Построчно 13: 13: 22.407445
13:13:22.407445 IP 192.168.246.128.54955 > 192.168.246.13.80: S 2910497703:2910497703(0) win 5840 <mss 1460,sackok,timestamp="" 518611="" 0,nop,wscale="" 6="">
IP: 192.168.246.128 с исходным портом 54955 пытается подключиться к IP 192.168.246.13 порт 80 (http)
Запуск TCP-соединения инициируется установкой SYN флаг обозначен буквой S
порядковый номер попытки подключения 2910497703
размер окна 5840, максимальный размер сегмента 1460
Вторая линия на 13: 13: 22.407560
13:13:22.407560 IP 192.168.246.13.80 > 192.168.246.128.54955: S 3762608065:3762608065(0) ack 2910497704 win 64240 <mss 1460,nop,wscale="" 0,nop,nop,timestamp="" 0="" 0,nop,nop,sackok="">
IP 192.168.246.13 с исходным портом 80 отвечает на попытку подключения с 192.168.246.128 src-порта 407445 с флагами SYN + ACK обозначается буквой S и ack
порядковый номер 3762608065 и порядковый номер из строки выше увеличиваются на единицу, чтобы получить 2910497704
окно установлено на 64240, максимальный размер сегмента (mss) 1460
Третья строка - последний пакет трехстороннего рукопожатия.
13:13:22.407963 IP 192.168.246.128.54955 > 192.168.246.13.80: . ack 1 win 92 <nop,nop,timestamp 518611="" 0="">
- у него такая же пара srcIP: port - dstIP: port, что и выше, только с установленным флагом ACK.
Последняя линия
13:13:22.408321 IP 192.168.246.128.54955 > 192.168.246.13.80: R 1:1(0) ack 1 win 92 <nop,nop,timestamp 518611="" 0="">
В этой строке указано, что соединение между 192.168.246.128:54955 и 192.168.246.13:80 сброшено (флаг RST) и флаг ACK, который указывает, что переданные данные были приняты должным образом. Более подробную информацию об этом можно найти Вот