- PR -

Fin Push Ack

1
投稿者投稿内容
ももいろぞう
会議室デビュー日: 2005/01/31
投稿数: 3
投稿日時: 2005-01-31 22:52
サーバー − F/W − クライアント の環境でJP1を使っているのですが
TCPのポート40009でのクライアントからサーバー向けの通信がエラーとなってはじかれます。
キャプチャをとったところ、以下のようになりますが、クライアントからのFin Push Ackが
サーバーへ送信されず、FWで捨てられてしまいます。結果、同じ送信をリトライして届いているようですがFWでは、Fin BitがたっているPush AckはNGとなるのは何故でしょうか?


 JP1クライアント   サーバー(JP1Mgr)
(Soralis)   (Windows)
   → Syn
   ← Syn Ack
   → Ack
   → Fin Push Ack
   → Fin Push Ack

   → Push Ack
   ← Ack

   → Push Ack
   ← Ack

   → Push Ack
   ← Ack

   → Push Ack
   ← Ack

   → Fin Push Ack

   → Push Ack
   ← Ack

   → Push Ack
   ← Ack

   → Fin Push Ack

   → Push Ack
   ← Ack

   → Push Ack
   ← Ack

   → Fin Push Ack
   → Fin Push Ack

他に、似たような事例をご存知でしたら教えてください。
綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2005-02-01 14:31
F/Wの設定次第じゃないんでしょうか。
全てのルールを消したら通るんですか?

こういう機種で、こういう設定をしている、などが何も書かれていませんし、
これでは誰も答えようが無いと思います。
ももいろぞう
会議室デビュー日: 2005/01/31
投稿数: 3
投稿日時: 2005-02-01 20:35
そうですね。設定について何も記載していませんでした。
FWをNOKIAのFWを使用しており、他にもこのFWを通信するサーバーがいくつかあり、IPアドレスとTCPレベルでフィルタリングしています。
この40009というのはJP1で使用しているポート番号で、このポートにも
IPとポート番号でFWでは許可しているにも関わらず、サーバー側にて
snoopコマンドでキャプチャーを採取すると、Fin Push Ackだけがリトライしており
また、FW上のログではエラーとなり、拒否されているらしいのですが、Push Ackで
リトライしている内容は通っているようです。
本番環境下でのことなので、FWの設定を全て外す訳にはいかず、また、リトライの結果
ログは検知できているので、緊急性はないと判断していますが、何かの攻撃のパターンと一致するのかを調べています。
ももいろぞう
会議室デビュー日: 2005/01/31
投稿数: 3
投稿日時: 2005-02-02 12:21
この件解決に至りました。

FWのTCPセッションタイムアウトが10時間のタイマーをもっており
最後にデータが流れてから10時間たつと切断するのですが
FWでは23時間しかログを持たない為、23時間前のTCPセッション履歴が
なくなってしまい通信が拒否されていました。
JP1でリトライしても通信できない為、再接続する事で
また通信できるようになりそれを繰り返していました。

失礼しました。
以上です。
1

スキルアップ/キャリアアップ(JOB@IT)