Я запускаю FreeBSD 7 и получаю это в / var / log / security:
+++ /tmp/security.AIKARuA1 2009-06-30 03:05:17.000000000 +0500
+TCP: [69.147.83.36]:80 to [115.186.130.56]:50488 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.36]:80 to [115.186.130.56]:55740 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.33]:80 to [115.186.130.56]:52461 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.36]:80 to [115.186.130.56]:57401 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
Отсюда я могу сделать вывод, что совершенно очевидно, что клиент отправил некоторые данные, в то время как соединение должно было быть закрыто.
Может ли это быть случай, когда я инициировал сеанс ssh, получил сообщение Man-in-the-Middle без моего ведома, и после того, как я закрыл сеанс SSH, он попытался подключиться снова?
Это может произойти в случаях, когда одна сторона выполняет RST не должным образом, и при достаточной задержке данные могут некоторое время находиться в полете после этого или даже из-за очереди после закрытия обеих сторон.
Короче говоря, данные после close довольно безобиден, так как сеанс должен был быть запущен в первую очередь, чтобы вызвать это, так что не беспокойтесь.
Посмотрите на исходный адрес: [69.147.83.36]: 80. Обратите внимание на порт 80 - это HTTP-трафик. Кто-то подключается к вашему Web-серверу, пишет запросы, получает данные. Затем ваш сервер закрывает соединение, но ваш клиент не понимает этого и продолжает отправлять запросы.
Это не проблема безопасности. Возможно, это неправильная конфигурация сервера или ошибка в клиенте.