来自同一来源的连续 RST、ACK 标志

来自同一来源的连续 RST、ACK 标志

有人能帮我更好地理解这里发生了什么吗?我一直收到“管道损坏”错误,提示对等方正在重置连接。另外,我以为 192.168.114.30 是客户端,但从我的阅读来看,握手中的原始 SYN 应该来自服务器(RST、ACK 也是如此)。如果这是一个显而易见的答案,我很抱歉。我已尝试进行尽可能多的研究。任何帮助都将不胜感激。

这是垃圾场的照片

编辑:我很感激任何答案,并对我对此主题的缺乏了解表示歉意。我想补充一点,当使用命令查询套接字统计信息时ss,我没有看到应该列出的此服务器。这是否意味着服务器没有监听任何端口?这是否需要在服务器端的 modbus 配置中解决?

值得注意的是,我们运营的多个设施都存在此问题,所有设施都与服务器应该发送数据的同一设备(UPS)有关。在其中一个站点,转储仅显示 ARP 请求,因此甚至无法找到 MAC 地址。

最后一个问题 - 这是否与心跳超时问题有关?我不认为是,但我上面的一些人(坦率地说,他们也不太熟悉 Modbus TCP 协议)似乎认为是。我知道“对等方重置连接”可能是由超时引起的,但有人能建议我如何自信地排除这种情况吗?

答案1

您认为原始 SYN 数据包来自服务器的想法是错误的。为什么会出现这种情况?

问:当我打开网络浏览器访问 google.com 时,哪一端发起 TCP 连接?

A:我这边是的。

问:三次握手中第一个SYN来自哪里?

A:我这边。

问:google.com 如何与我发起三次握手?

A:他们不能。

在您的捕获中,192.168.114.5 正在启动连接,并且是“客户端”。192.168.114.30 是“服务器”。三次握手完成后,服务器将使用 RST 数据包终止会话。在“服务器”上是否有进程/服务/守护进程在端口 53734 上监听?

答案2

根据您的网络转储,IPv4 地址为 192.168.114.5 的计算机充当客户端,发起与 IPv4 地址 192.168.114.30 上的端口 502 (Modbus) 的 TCP 连接,因此 IPv4 地址 192.168.114.30 充当服务器。两台机器完成了三次握手,但 5 毫秒后,服务器通过发送 RST(重置)数据包中止了连接。

需要在服务器上(即 IPv4 地址为 192.168.114.30 的机器)调查其发生这种情况的原因。该机器监听端口 502 的应用程序可能没有足够的资源来处理连接请求或遇到其他类型的故障。如果日志中没有任何有用的信息,您可能需要求助于调试该应用程序。

绝对是不是超时或心跳问题。服务器通过 RST 数据包主动中止连接,并且该数据包几乎立即到达,比任何可能的超时都快得多。如果真是这样,那一定是服务器故障。

相关内容