TCP同步，确认，结束连接数据包关系(★★已上传数据包★★)

bingxuelin · 发表于 2010-6-9 08:57:59

本帖最后由 bingxuelin 于 2010-6-12 12:35 编辑

最近网络一直不是很好，一直在抓包对比分析，始终找不出根本原因(牛人帮忙看一下是不是网内存在什么攻击，网络总感觉有问题，虽然网内存在EMULE但是连接数和下载量都很小）
网络慢的时候总体流量不大，也没有大量广播包，ARP包也正常（同其它时间段相比，有时下载流量达26M/s左右，网络也没那么卡,早上网络有时慢，流量也不过10M/s左右），网络时不时就是有些慢，有点怀疑是电信那边的问题了
抓包后突然发现TCP同步，确认包，与结束包似乎相差有点大，不知道他们之间有什么样的对应关系，同步和确认包大致相同这个可以理解，也就是TCP连接的三次握手，结束包是因为TCP关闭的四次握手？帮忙指点一下
TCP结束.JPG

1.part1.rar (1.91 MB, 下载次数: 2)

1.part2.rar (597.88 KB, 下载次数: 2)
注：数据包是今天早上刚抓的，网内流量不大，但是打开网页速度有些慢，一打开科来抓包，右侧与科来论坛相连的标题页面过一会才刷出来

long_323 · 发表于 2010-6-9 09:13:36

一般情况：TCP同步包/同步确认为1:1
访问一些不存在的端口或防火墙阻断的策略，会导致TCP复位太多。

菜鸟人飞 · 发表于 2010-6-9 11:19:05

TCP结束连接数据包是在TCP四次关闭时使用。
从楼主截图来看，你的TCP结束连接数据包太多，可能网络中存在TCP FIN之类的攻击，此类攻击可导致被攻击者误认为TCP通讯完成并关闭连接，从而出现网络时断时续甚至断网的情况。
楼主可以把具体上传上来大伙儿一起看看。

bingxuelin · 发表于 2010-6-12 08:15:47

迷糊中，看不出来倒底是什么问题。。。