11 月 29 日 15:17:15 主机名内核:[397768.554884] [UFW BLOCK] IN=eth0 OUT= MAC=[mac] SRC=[ip] DST=[ip] LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=17050 PROTO=TCP SPT=56152 DPT=80 WINDOW=65535 RES=0x00 ACK FIN URGP=0
据我了解,有一个对端口 80 的请求已被阻止。大多数消息都有DPT=80。
这很奇怪,因为端口 80 已开放用于商业活动,并且为网站提供服务,这是前所未有的。我在这里遗漏了什么?
答案1
请注意,您的数据包同时设置了 FIN 和 ACK 位。这是远程主机在 TCP 断开(连接结束)过程中发送的最后一个数据包。
实际情况是,当您的主机完成发送后,它会在最后一个数据包上设置FIN和ACK标志。远程主机会发送一个ACK设置了的数据包,然后发送一个设置了FIN和的数据ACK包。
Local remote
FIN ACK ---->
<---- ACK
<---- FIN ACK (?optional?)
ACK ----->
实际上,远程FIN ACK被认为是可选的,因此当 netfilter 防火墙看到时,它将刷新其连接表,ACK因此当FIN ACK数据包到达时,它没有关联的连接并被丢弃。