网络拓扑:
在客户端抓包:
1号包的详情:
- Dst 是网关 mac
2号包详情:
- Src 不是网关 mac
- TTL (Time to live) 应该是63 (不知道如何计算)
推测的网络拓扑:
- 1号包走路由
- 2号包没走路由
5号包详情:
一般发出 Identification 为 0 的机器永远都发 0, 不会一下子跳到 49031。也就是说,其实 2 号包和 5 号包是两台不同的设备发出来的, 这意味着在 Web 服务器和客户端之间, 可能存在一台设备在代理三次握手, 而能够代理握手的设备很可能是应对 Syn flood 攻击的防火墙。
更正网络拓扑:
若有收获,就点个赞吧
0 人点赞
