Google IP 向我的路由器发送 TCP（ACK、PSH）。知道原因吗？

这个现象有点复杂。我在相应的日志中做了一些研究，想在这里与所有同样想知道的人分享我的猜测。

相关日志条目显示输入链中带有 TCP 标志ACK和PSH(push) 的数据包丢失。这表明网络中的某些服务正在等待来自 google 服务器的消息（通过。push）。但是等一下 - 为什么包会记录在输入链中？这很容易解释 - 如果路由器（或者如 @chexum 已经提到的 - conntrack）没有关于NATed/ PATed 流量的连接信息，则包看起来像是路由器的流量，而不是路由器后面任何设备的流量。所以这解释了为什么“google 正在向路由器发送流量”。

但问题是路由器为什么没有这些包的连接信息。目前我只能推测：在大多数用户上网时，会出现掉线现象。我猜是因为谷歌的回复时间太长（可能是因为它之前推送的流量比其他的要低），导致连接超时。这个特定路由器的 TCP 包超时时间约为 10 秒，而 为 5 秒SYN。再过一段时间，conntrack 将删除有关旧的“无效”流量的记忆，从那时起，来自此连接的每个流量都看起来像输入流量。这也是无效规则未被触发的一个可能解释。

我认为@samuel 应该再多观察一下，看看是否有任何可识别的模式。但总体而言，我同意@chexum 的观点，认为这些下降是可以忽略的。

它清楚地显示了从 Google IP 接收的数据包，其源端口为 443。

当然，也有可能有人利用 Google 的 IP 地址进行中间人攻击，或者有人从 Google（或入侵 Google）向你发送数据包，是的，但这非常，非常不太可能。

更有可能的是，您的数据包过滤器和/或 conntrack 子系统（或路由器和/或 ISP 上的类似功能）已经看到来自 google:443 和 yourip:40382 之间的数据包流的数据包，显示连接已被关闭。

通常，您发起的连接不会被数据包过滤器记录，但这仅适用于已建立的连接。

FIN当连接被双方或任何一方关闭时RST，该连接将不再被视为ESTABLISHED。任何一方延迟或重新发送的数据包都将被视为新数据包，并被数据包过滤器记录下来，特别是如果删除的 conntrack 条目阻止将数据包发送到其正确的目的地。

这种情况很常见，可能根本没有理由担心，您通常可以安全地忽略那些记录的数据包。

如果您发现任何模式并想要进行调查，您可以继续tcpdump在系统上运行，记录来自类似 IP 地址的所有数据包，然后当您看到另一个类似的日志时，您可以停止 tcpdump，并过滤本地端口以查看您是否确实在事件发生前几秒钟打开了连接。

上述 tcpdump 的示例如下：

tcpdump -ieth0 -s0 -w /var/tmp/allssl.cap port 443