求教:在连接里面看这样的连接是什么意思?

xlxxhbgs

60.0.62.84是我的Web服务器,正常的访问应该客户的地址是Src.Address 我的IP是Dst.Address
但现在有几百个Src.Address是我服务器IP 80端口,Dst.Address地址是两三个不知道是哪的地址的连接

不影响用 服务器上没其它东西,请问这样的连接是怎么回事?

附图:

seignior

把timeout改小再观察。

zzyzzyboy

没问题，可能是某些PROXY的服务器连接你的服务器

xlxxhbgs

把timeout改小再观察。---------->不影响用 不用改,只是疑问这样的连接是怎么产生出来的

可能是某些PROXY的服务器连接你的服务器---------->不明白,那源地址也不应该是我的IP吧

[ 本帖最后由 xlxxhbgs 于 2007-2-21 10:37 编辑 ]

seignior

你看看你的time out都是超过1小时的，这个很可能就是已经过时的连接............

xlxxhbgs

我的主要意思大家都没看明白

什么应用可以产生源地址是我的IP:80的连接?

seignior

晕得没话说了
"60.0.62.84是我的Web服务器",web默认就是80阿

xlxxhbgs

正常情况下应该目标地址是我的IP:80啊
第一列数据和第二列数据应该换过来

crack_ros

原帖由 seignior 于 2007-2-24 20:02 发表
晕得没话说了
"60.0.62.84是我的Web服务器",web默认就是80阿

ROS 的图你都没有详细看

看情况是 WEB 服务器好像应用了某个程序在用 80 端口上传东西

seignior

这个问题扯开就麻烦了，首先要知道iis已经占用了80，那还有什么东西可以再次占用80？可不要和我说端口劫持&端口复用噢，虽然不是不可能，只是在这个个例里，应该属于无需考虑的对象吧。
然后推开再想，那么上图究竟是什么回事呢？
从dst端口属于高端且基本连续，由此基本可以判断是对方才是客户端(判断依据握手过程、打开等待端口以及连接服务端口，比较长篇，这里我就不说了)，就是说，仅判断连接形式而不管ros显示的src和dst的话，就是58.66.58.207在对60.0.62.84的80发出请求。
上去60.0.62.84看了一下，发现提示N多，web是iis，ftp是serv-u，好像是个做虚拟机的服务器(至少是专用于web的机器)而不是网吧，至于是做的端口转发还是别的(例如透明桥)就不清楚了，查过ip库也没显示是个网吧，比较相信是个接近IDC之类的角色。
暂时就知道这些了，然后我们来推算一下
假设对方就是个网吧(其实并不是真的指网吧，而是指用端口转发的情况，就是该公网ip实际在ros上而web实际是个内网ip)，那么上图基本上是不成立的，没可能出现这个图，这里直接忽略；
假设ros是一个桥的角色出现，web服务器本身就占有公网ip，那么上图就有机会出现了，但这里的确有一个问题，就是根据ros的src,dat显示的话，就是web服务器主动向客户机打开连接，那究竟是什么回事呢？我们知道web请求都是由客户端主动发起的，而在上面我也已经否决掉端口复用的可能性(是几率太低了)，推到这里，我只能承认，我推不下去了。

但至少可以肯定的是
1.客户端(主动方)是对方58.66.58.207，服务端(被动方)是60.0.62.84
2.根据time out和对方端口序列判断，这些应该都是实际都是超时连接
3.在那些连接存活的时间内，有东西的确由60.0.62.84发向58.66.58.207，至于是web文件还是别的就不肯定

搞来搞去，我最后的判断是，如果能绝对排除端口复用的可能(木马之类)，那么非常大的几率是楼主把ros设置错误，导致把src和dst反转了。

crack_ros

有1个可能是这样的

内网 60.0.62.84  做了1个 代理服务器 暂时理解为 CCPORXY

或者 ISA 2004 的

代理或者 ROS 的 代理

80 端口 不断转发 来自 下1级 某机器的 IP 的请求

seignior

已经可以肯定不是了，已经绝对肯定60.0.62.84:80是一个IIS在运行。
另外需要搞明白，例如开一个proxy吧，我们假定他工作在80端口，但要注意，这个80是他的服务端口，并不是他的请求端口，简单点就是说，例如我通过他访问你的网站，那么我的确连接到他的80端口，但注意这点，这个工作于80端口的proxy，他转发我的请求的时候，并不是用80端口转发，而是在高端端口(1024以上)顺序找一个空闲端口对我的真正目标发出请求，而在这个时候你监听这个proxy，会发现他连接我目的网站的端口是一个高端端口而不是我对proxy请求的80端口。

[ 本帖最后由 seignior 于 2007-2-26 20:11 编辑 ]

crack_ros

客户端 －－－》WEB 80（IIS）－－－》返回客户端需要的数据  （从应用层看 有点象多线程的下载）

从图上可以看出来

楼主对数据进行过排序（注意前面2个序列的标签处）

所以我们看到的都是 80 －－》 客户端的 数据

就这么简单的1件事情

xisat

嗯，如楼上，应该是返回数据，需要确定的只是楼主的ros是在什么位置起什么作用的

seignior

原帖由 crack_ros 于 2007-2-26 20:38 发表
客户端 －－－》WEB 80（IIS）－－－》返回客户端需要的数据  （从应用层看 有点象多线程的下载）

从图上可以看出来

楼主对数据进行过排序（注意前面2个序列的标签处）

所以我们看到的都是 80 －－》  ...

已经考虑过了，这个是不成立的，因为首先要知道iis并不会主动连接客户端，必定是客户端连接iis，因为对iis(这里指所有对的web服务)的请求都是同步连接，iis(web)服务器返回的时候是直接在原连接返回的，所以并不会出现由iis成为src主动向客户端连接的情况，所以依然还是怀疑楼主的ros设置。

简单解释一下
同步连接:客户端对某一个服务发出请求，在服务端未答复前，该连接会一直处于阻塞状态直到超时，而服务端的返回会直接在原连接返回，这种连接应用在绝大多数情况，例如web、ftp等等；
异步连接：客户端会预先开放一个端口用于接受服务端的返回，而在对服务端发出请求的时候，直接把请求扔出就不管了，如果服务端想回答，那么就会另开端口对预先知道的客户端端口发出返回信息，我们用的例如qq就是这个样子；