我正在运行 FreeBSD 7,在 /var/log/security 中得到以下信息:
+++ /tmp/security.AIKARuA1 2009-06-30 03:05:17.000000000 +0500
+TCP: [69.147.83.36]:80 to [115.186.130.56]:50488 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.36]:80 to [115.186.130.56]:55740 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.33]:80 to [115.186.130.56]:52461 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
+TCP: [69.147.83.36]:80 to [115.186.130.56]:57401 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb
我从这里可以推断出,很明显,客户端在连接应该关闭时发送了一些数据。
这可能是我发起 ssh 会话,在我不知情的情况下在某处遇到中间人攻击,在我关闭 SSH 会话后,他尝试再次连接的情况吗?
答案1
这种情况可能发生在一方执行 RST 而不是正确关闭的情况下,并且如果延迟足够,数据可能会在之后的一段时间内进行传输,甚至由于双方都关闭后进行排队。
简而言之,数据后关闭是相当无害的,因为会话必须首先启动才能导致这种情况,所以不要担心。
答案2
看看源码地址:[69.147.83.36]:80。注意端口 80 - 这是 HTTP 流量。有人连接到您的 Web 服务器,写入请求,获取数据。然后您的服务器关闭连接,但您的客户端不理解这一点并继续发送请求。
这不是一个安全问题。这可能是服务器配置错误或客户端错误。