14 votes

Soeung Chanchhayheng avatar

Mes connexions TCP sont-elles sabotées par le gouvernement de mon pays ?

Demandé el 25 de Juillet, 2012
Quand la question a-t-elle été
944 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je soupçonne le gouvernement de mon pays de détruire le paquet ACK reçu sur les connexions TCP, d'une manière ou d'une autre.

Lorsque j'essaie d'établir une connexion TCP avec un hôte extérieur sur des ports autres que 80, la prise de contact TCP n'aboutit pas. J'ai capturé le fichier pcap (gmail.pcap : http://www.slingfile.com/file/aWXGLLFPwb ) et j'ai découvert que mon ordinateur recevra l'ACK après l'envoi de TCP SYN mais au lieu de répondre avec un SYN ACK il enverra un RST.

J'ai vérifié le paquet ACK de l'hôte extérieur, mais il semble tout à fait légitime. Le numéro de séquence et tous les drapeaux dont j'ai connaissance sont corrects. Quelqu'un pourrait-il me dire pourquoi mon ordinateur (une machine linux) envoie le paquet RST ?

pcap screenshot

Demandé el 25 de Juillet, 2012 par Soeung Chanchhayheng

Réponses

Trop de publicités?

6voto

Kirill Osenkov avatar
Kirill Osenkov Points 3902

A partir de la ligne cmd :

openssl s_client -connect serveryourtryingtocontact.com:443

Cela devrait permettre de vérifier que vous pouvez vous connecter en SSL à l'hôte distant. Faites éventuellement un Wireshark de ce trafic.

Si vous n'avez pas openssl , vous pouvez apt-get install openssl .

Nous devons déterminer où le RST est généré. Cela se produit-il pour tous les sites sites SSL ? Avez-vous une connexion directe avec votre passerelle NAT ? Utilisez-vous un proxy ?

L'utilisation de cette méthode exclut tout problème avec votre pile SSL.

Répondu el 25 de Juillet, 2012 par Kirill Osenkov (3902 Points )

6voto

the-wabbit avatar
the-wabbit Points 40039

Bien que le gouvernement iranien soit réputé pour rompre HTTPS de temps à autre, les données que vous avez fournies semblent simplement indiquer que le paquet SYN,ACK de 173.194.32.22 arrive sur votre hôte, mais n'atteint jamais votre pile TCP. La pile retente d'envoyer des SYN après une seconde, deux secondes, quatre secondes et huit secondes respectivement - mais ne reçoit apparemment jamais de réponse.

Les SYN,ACK entrants semblent être filtrés - vous n'avez pas d'adresse de courrier électronique. iptables règle pour le trafic tcp dans votre chaîne INPUT qui a un REJECT --reject-with tcp-reset cible par hasard ?

Répondu el 25 de Juillet, 2012 par the-wabbit (40039 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X